De iPhone, iPad en iPod Touch kampen met een ernstig beveiligingslek waarlangs hackers software kunnen installeren. De kwestbaarheid heeft te maken met PDF-bestanden.
Het gaat in feite om twee gaten, waarvan het ene een 'jailbreak' voor de iPhone mogelijk maakt. Gebruikers kunnen daarvoor speciale PDF-documenten inladen van een site, waarna ze eigen software op het toestel kunnen installeren. Op deze manier kan je ook de simlock van een iPhone 4 verwijderen.
Vervolgens gebruikt de software een fout in de iOS-kernel, waardoor aanvallers hogere rechten kunnen verkrijgen op iPhones en iPads, zegt securitybedrijf Vupen. Dit lek zit in de PDF-software die Apple heeft ingebouwd in browser Safari in zijn mobiele besturingssysteem iOS.
Fout Adobe
Een ander PDF-gat werd vorige week op de Black Hat hackersconferentie voorgesteld door beveiligingsexpert Charlie Miller, en draait rond de manier waarop PDF-software van Adobe ingebedde lettertypes weergeeft. Die fonts kunnen kwaadaardige code in zich dragen, die via dit lek wordt uitgevoerd op het doelwit.
Hackers kunnen zo malware installeren die paswoorden of andere gevoelige informatie steelt. Deze kwetsbaarheid is ook van toepassing op de besturingssystemen Windows, Unix en Mac OS X, meldt The Register.
Oplossing
Softwaregigant Adobe, die software ontwikkelt waarmee PDF-bestanden gelezen kunnen worden, haastte zich om te zeggen dat het PDF-formaat een ISO-standaard is, en dat fouten van het formaat niet automatisch fouten van Adobe zijn. Het bedrijf werkt alleszins aan een oplossing, net als Apple, dat zegt met een patch te komen in de volgende veiligheidsupdate. Het is niet duidelijk wanneer die er komt.
Een mogelijke oplossing voor ongeruste gebruikers is volgens Gizmodo hun toestel zelf te jailbreaken om dan de niet-officiële PDF-waarschuwingsapp 'PDF loading warner' te installeren via app store Cydia. Die app vraagt gebruikers toestemming telkens een PDF-bestand wordt geopend. Apple waarschuwt wel dat met een dergelijke actie de garantie op het toestel vervalt.
Misbruik
Apple-woordvoerster Natalie Harrison wou aan de New York Times geen commentaar geven op de vraag of het lek al misbruikt werd, maar volgens beveiligingsbedrijven is het slechts een kwestie van tijd voor kwaadwillenden dergelijke gaten effectief gaan misbruiken.
Volgens het Duitse Federale Bureau voor InformatieVeiligheid geldt de kwetsbaarheid minstens voor de iPhones met iOS versie 3.1.2 tot 4.0.1, de iPads met iOS 3.2 tot 3.2.1. en de iPod Touch met iOS 3.1.2. tot 4.0. De dienst waarschuwt gebruikers geen PDF-documenten te openen op die toestellen. (sam)
