Fout in iOS-beveliging laat hackers elk toestel binnen wifibereik crashen

Op een conferentie over elektronische veiligheid in San Francisco hebben onderzoekers van de beveiligingsfirma Skycure de ‘No iOS Zone’ aan de kaak gesteld. Het is een kwetsbaarheid in de iOS-beveiliging waardoor hackers eender welk iOS-apparaat binnen het bereik van een wifihotspot kunnen doen crashen. Of je er nu vrijwillig mee verbindt of niet.

Ze maken gebruik van een fout in het recentste besturingssysteem van Apple, iOS 8. Door bepaalde certificaten te manipuleren die over een netwerk naar iOS-toestellen worden gestuurd konden de onderzoekers de toestellen doen crashen. In het slechtste geval blijven ze dat herhalen, waardoor de apparaten telkens opnieuw blijven crashen tot je uit het bereik van de wifihotspot bent. Als ze het telkens opnieuw herhalen krijg je ook niet de kans om je wifiverbinding uit te schakelen.

Op het eerste zicht lijk je veilig zolang je niet met de corrupte wifinetwerken verbindt, maar dat is niet helemaal zo. De onderzoekers combineerden de fout met nog een ander achterpoortje in het besturingssysteem, namelijk ‘WifiGate’. Dit houdt in dat sommige toestellen bij bepaalde providers automatisch verbinding maken met bepaalde netwerken. Zo verbinden toestellen die AT&T als provider hebben automatisch met wifinetwerken die ‘attwifi’ heten. Maar je kan de naam van je netwerk dus aanpassen zodat die daarmee overeenkomt. En er is geen manier om dit te voorkomen buiten door je wifi uit te schakelen.

De onderzoekers benadrukten in hun presentatie dat deze fout kan gebruikt worden om elk iOS-apparaat binnen een bepaalde radius uit te schakelen. Al bij al kan je gewoon uit het bereik van de hotspot gaan en dan werkt je toestel weer normaal, maar op bepaalde plaatsen waar veel toestellen op een vaste plaats zitten, zoals op Wall Street, zou dit enorme gevolgen hebben.

Het team werkt nu samen met Apple aan een oplossing. Ze hebben niet alle details van de problemen publiek gemaakt, om de iOS-gebruikers te beschermen, maar voorlopig is elk iOS-toestel nog wel kwetsbaar.

De presentatie vind je trouwens hier.