Volledig scherm
© Photo News

‘Half miljard iPhones vatbaar voor hack door fout in Mail-app’

De e-mailaccounts van meer dan een half miljard iPhone- en iPadgebruikers kunnen gehackt worden via de app Mail. Dat werd ontdekt door ZecOps, een bedrijf dat forensisch ict-onderzoek verricht. Apple deelt mee dat het lek zo snel mogelijk wordt gedicht.

ZecOps ontdekte het probleem toen het een cyberaanval onderzocht die eind 2019 plaatsvond tegen een van hun klanten. Zuk Avraham, ceo van ZecOps, heeft bewijzen dat er minstens zes keer misbruik werd gemaakt van een kwetsbaarheid in de Mail-app.

Sinds 2018

Een woordvoerder van Apple bevestigt het probleem en zegt dat het bedrijf een oplossing heeft uitgewerkt die met de volgende iOS-update zal worden meegestuurd. Het bedrijf weigert in te gaan op het onderzoek van Avraham dat woensdag werd gepubliceerd. 

Avraham vond naar eigen zeggen bewijs dat een malwareprogramma al zeker sinds januari 2018 misbruik maakt van de kwetsbaarheid in het iOS-besturingssysteem voor de mobiele toestellen van Apple. Om de hack uit te voeren, kregen hackers volgens Avraham een schijnbaar lege e-mail via de Mail-app toegestuurd, die het toestel liet crashen en vervolgens een reset nodig maakte. Dankzij de crash kregen de hackers toegang tot andere data op het toestel, zoals foto’s en contactgegevens. Hij kon niet bepalen wie de hackers precies waren.

Volgens ZecOps konden de hackers data blijven buitmaken van de telefoons, zelfs op recentere iOS-versies. Ze kregen daarmee toegang tot alles waartoe de Mail-app toegang had, inclusief vertrouwelijke berichten.

Fortune 500-bedrijf

Avraham, een voormalig veiligheidsonderzoeker van de Israëlische Defensie, vermoedt dat de hackingtechniek deel uitmaakt van een reeks nog grotendeels onontdekte malwareprogramma’s die de hackers de volledige toegang tot de smartphone en tablet geven. Apple wil niet op die stelling reageren.

ZecOps ontdekte dat de hackingtechniek vorig jaar werd gebruikt bij een van hun klanten, iemand van een ‘Noord-Amerikaans technologiebedrijf van de Fortune 500’. Ze vonden ook bewijzen van vergelijkbare aanvallen op medewerkers van vijf andere bedrijven in Japan, Duitsland, Saudi-Arabië en Israël.

Avraham baseert zijn vaststellingen op data van crashreports, die gegenereerd worden wanneer een programma blijft hangen. Hij kon vervolgens de techniek recreëren die de crashes veroorzaakte.

900 miljoen iPhones

Twee onafhankelijke cybersecurity-onderzoekers die de ontdekking van ZecOps onder de loep namen, vinden het bewijs geloofwaardig, maar zijn er nog niet in geslaagd om zijn bevindingen volledig te reproduceren. 

Aangezien Apple tot voor kort niet op de hoogte was van het softwareprobleem, was de techniek mogelijk erg waardevol voor overheden en bedrijven die hackingdiensten aanbieden. Dergelijke programma’s kunnen meer dan een miljoen euro waard zijn.