Certified Secure hackt iPhone 4S tijdens Pwn2Own

Certified Secure - 24-09-2012

Joost Pol en Daan Keuper van Certified Secure hebben tijdens Pwn2Own Mobile de iPhone 4S gehackt. Pwn2Own Mobile is een wedstrijd waar hackers en beveiligingsonderzoekers proberen om verschillende toestellen te hacken, zoals de iPhone, BlackBerry, Android en Windows Phone. Het evenement vond op 19 en 20 september 2012 in Amsterdam plaats.

Pol en Keuper wisten door middel van een tot nu toe onbekende kwetsbaarheid in de WebKit software foto's, video's, cookies, surfgeschiedenis en het adresboek van de iPhone te downloaden en naar een server te sturen. Ze wisten via het lek de verschillende beveiligingsmaatregelen van Apple te omzeilen. De onderzoekers hadden slechts drie weken nodig om het probleem in Webkit te vinden. Pol is overigens van mening dat de iPhone nog steeds het meest veilige toestel is dat er tot op heden bestaat.

Het beveiligingslek is aanwezig in zowel iOS 5.1.1 als in iOS 6. IOS is het mobiele besturingssysteem van Apple dat voor de iPhone, de iPod Touch en de iPad wordt gebruikt. Aangezien het probleem ook in iOS 6 is gevonden, betekent dit dat de net gelanceerde iPhone 5 waarschijnlijk ook kwetsbaar is. Certified Secure adviseert gebruikers van een iPhone, iPod Touch of iPad om de iOS update van Apple die dit probleem zal verhelpen meteen te installeren zodra deze beschikbaar komt.

De tijdens Pwn2Own Mobile gedemonstreerde exploit werd meteen na de demonstratie vernietigd. De details over de kwetsbaarheid zijn aan de organisator van Pwn2Own, ZDI, gerapporteerd. Zij zullen Apple nu verder inlichten.

Meer informatie
De iPhone hack is groot nieuws en zowel de Nederlandse- als buitenlandse media uitgebreid besproken. Hieronder een aantal publicaties.

Nederlandse media
Automatiseringsgids: Certified Secure wint prijs Pwn2own met hack iPhone 4s
Nu.nl: Nederlanders ontdekken kwetsbaarheid in iOS 5 en 6
Tweakers.net: Nederlanders vinden beveiligingsprobleem in browser iOS 6
Webwereld: Winnaars Pwn2own hacken iPhone via webkit
Applespot: Beveiligingslek in iOS-browser Safari ontdekt door Nederlanders
Iphoneclub: Nederlanders hacken iPhone 4S met WebKit-exploit

Buitenlandse media
Zdnet: Mobile Pwn2Own: iPhone 4S hacked by Dutch team
Computerworld: iPhone 4S exploited in Mobile Pwn2Own hacking contest in Amsterdam
The Register: Latest iPhone hacked to blab all your secrets
NBC News: iPhone operating system hacked by researchers
Mac World: iPhone 4S exploited in Mobile Pwn2Own hacking contest in Amsterdam
Threatpost: As iPhone 5 Launches, Hackers Explain Journey to Working Exploit on iOS 6