Er is een lek ontdekt in de e-mailapplicatie van iPhones en iPads, waarmee hackers jarenlang toegang hebben kunnen krijgen tot gegevens van Apple-gebruikers. Het lek in de app is min of meer bij toeval gevonden door het Amerikaanse bedrijf ZecOps, dat de kwetsbaarheden detecteerde tijdens een routineonderzoek.
Via het lek was het voor hackers mogelijk om toegang te krijgen krijgen tot bijvoorbeeld mails, contactgegevens, bijgevoegde foto's en andere documenten. 'We kunnen met enige zekerheid zeggen dat deze kwetsbaarheden veel zijn uitgebuit door hackers', stelt ZecOps in hun weblog.
Inbox overbelasten met zware e-mail
Hackers maken misbruik van het lek door een mail te sturen waarmee de mailbox van hun slachtoffers overbelast raakt. Het gaat dan bijvoorbeeld om een mail met een grote dataopslag, waardoor het RAM-vermogen van het apparaat vol raakt. Via deze weg kunnen hackers toegang krijgen tot de inbox.
Hoe de mail eruit ziet, blijkt te verschillen, maar in veel gevallen gaat het om een mail die op het oog geen inhoud heeft.
Op toestellen waar iOS 13 op staat, kan een apparaat gehackt worden als de mail op de achtergrond wordt geopend (dit kan dus gebeuren zonder dat je zelf op de mail klikt). Als iOS 12 op het toestel staat, is er van het slachtoffer wél een klik op de e-mail nodig.
Als gebruiker merk je verder weinig van de hack. 'Met iOS 13 kan er een kleine vertraging in de applicatie optreden, bij iOS 12 kan het zijn dat de mailapp ineens afsluit', schrijft ZecOps.
Lek bestaat al ruim acht jaar
De eerste keer dat er misbruik werd gemaakt van de kwetsbaarheden is volgens ZecOps ergens in januari 2018, met besturingssysteem iOS 11.2.2. Het bedrijf stelt dat het daadwerkelijke lek zelf al bestaat sinds september 2012, toen de iPhone 5 uitkwam.
Het beveiligingsprobleem geldt dus ook voor alle Apple-apparaten die sindsdien zijn uitgekomen, tot aan de apparaten met nieuwste versie van de software (iOS13.4.1).
Wat doet Apple?
ZecOps stelt dat de volgende versie van iOS het beveiligingslek dicht. Wanneer de software-update uitkomt, is nog niet helemaal duidelijk. Opgelicht?! heeft contact gezocht met Apple om hierachter te komen, maar daar is tot op heden geen duidelijkheid over.
Het advies aan gebruikers is om de update uit te voeren zodra deze beschikbaar is: het is dan ook zaak om goed in de gaten te houden wanneer er een update volgt. In de tussentijd kun je voor de zekerheid gebruik maken van een andere e-mailapplicatie.
Update 24 april - 'Gebruikers niet geraakt door lek'
In een reactie laat Apple weten dat het lek geen risico vormt voor gebruikers, waarmee de conclusies van de onderzoekers dus worden tegengesproken. ZecOps heeft hier nog niet op gereageerd.
Bron: ZecOps