iPhone-firmware 3.0.1 is wassen neus

Kort na het bekend worden dat smartphones door middel van een sms-bericht gehackt kunnen worden, heeft Apple firmwareupdate 3.0.1 uitgebracht voor de iPhone. Deze update is bedoeld als bescherming tegen de hack, maar is eigenlijk niet meer dan een wassen neus.

Op de BlackHat-conferentie presenteerden Collin Mulliner en Charlie Miller een manier om via sms een smartphone te hacken. Apple verspilde geen tijd en bracht binnen een paar dagen een update (3.0.1) uit waarmee deze hack geblokkeerd werd. Maar twee andere onderzoekers, Luis Miras en Zane Lackey, noemen deze hack slechts het topje van een hele grote ijsberg. Een lid van het iPhone Dev Team die een demonstratie van Miras en Lackey kreeg, liet weten: "OMG 3.0.1 does not begin to fix them."

De hack van Miras en Lackey is een mms-hack waarbij de ontvanger naar een gehackte website wordt gelokt. Via deze website kan data ontfutseld worden. Overigens claimen Miras en Lackey dat de hack niet alleen via mms, maar ook via sms werkt. Een proof-of-concept laat zien hoe berichten verstuurd kunnen worden die van een bank, de provider of zelfs PayPal af lijken te komen. In een demonstratie laten ze zien hoe een nieuw 'voicemailbericht' de instellingen van de telefoon wijzigt.

Waar de hack van Mulliner en Miller opgelost kan worden via een firmwareupdate, ligt dit bij Miras en Lackey anders. De zwakheid ligt hier niet bij de telefoon, maar bij het mobiele netwerk. Samen met mobiele operators werken ze dan ook aan een oplossing. De problemen doen zich met alle mobiele telefoons met mms-functionaliteit voor. Wie helemaal safe wil zijn, schakelt mms-functionaliteit dus uit en opent zo min mogelijk links in sms-berichten.

iPhoneclub