De Duitse overheid waarschuwt voor de kwetsbaarheid in iOS waar de jailbreaksite JailbreakMe gebruik van maakt. Via een malicieus pdf-bestand kan de beveiliging van Apples mobiele besturingssysteem omzeild worden.
Enkele bekende hackers uit de jailbreakgemeenschap lanceerden gisteren versie 3.0 van de website JailbreakMe.com. Wie met een iOS-toestel met softwareversie 4.3.3 naar de site surft, kan er met enkele klikken de beveiliging van zijn toestel laten verwijderen, zodat er onofficiële software op geïnstalleerd kan worden.
Gat dichten na jailbreak
De jailbreaksite buit daarvoor een kwetsbaarheid uit in de manier waarop Apples mobiele besturingssysteem met pdf-bestanden omgaat. De ontwikkelaars van de site bieden ook een zelfgemaakte patch aan om het gat te dichten na de jailbreak.
Het Duitse Federale Agentschap voor Veiligheid in de IT (BSI) waarschuwt consumenten er op zijn website voor dat de kwetsbaarheid, die ze kritiek noemen, ook misbruikt kan worden voor criminele doeleinden. Er zouden wel nog geen misbruiken zijn vastgesteld.
Gesprekken afluisteren
Volgens de Duitsers kunnen criminelen met een malicieus pdf-bestand beheerdersrechten over je iPhone of iPad krijgen en zo je bankgegevens, wachtwoorden, e-mails en andere vertrouwelijke informatie stelen. Ook zouden telefoongesprekken afgeluisterd kunnen worden. Het BSI raadt dan ook af om nog pdf-bestanden te openen.
Een woordvoerder van Apple liet aan CNet weten dat het bedrijf aan een patch voor het lek werkt. Het lapmiddel zal in een van de komende software-updates verwerkt worden. In de bèta’s van iOS 5, dat in september verwacht wordt, is het lek wel nog aanwezig.
Vorig jaar maakte het team achter JailbreakMe het als eerste mogelijk om via een website iPhones, iPads en iPods Touch met iOS-versie 4.0.1 te kraken. Ook toen werd er gebruikgemaakt van een lek in de manier waarop iOS pdf-bestanden verwerkt. Apple dichtte het gat tien dagen na de lancering van JailbreakMe 2.0 met de iOS-update versie 4.0.2.
