Placeholder
Sander Tamaëla

Veel mensen zijn erg verheugd dat er sinds kort een erg makkelijke manier is om je iPhone te jailbreaken. Je hoeft er nu slechts voor naar een website te surfen en een knop voor in te drukken. Maar moeten we hier eigenlijk wel zo blij mee zijn?

Naar mijn inzicht is dit het grootste gevaar ooit voor alle miljoenen actieve iPhone gebruikers. Als het voor jailbreakers mogelijk is om vanuit een browser iets op de telefoon van een bezoeker te installeren, dan is dat ook voor kwaadwillende mogelijk. Het is dus ook niet onmogelijk om een app te installeren die er voorzorgt dat bijvoorbeeld op de achtergrond een duur 0900-nummer wordt gebeld. Dat er nu een een actie door een gebruiker voor moet worden gedaan (het verschuiven van een slider) zegt niks over het automatiseren van deze actie. Het is nu ook al mogelijk om direct bij het bezoeken van een website een app op een iPhone te installeren.

Oplossing ligt bij Apple

Voor Apple ligt hier nu een taak die ze zo snel mogelijk moeten oppakken: het dichten van het beveiligingslek waar de jailbreakme.com software gebruik van maakt. Met dit beveiligingslek ongedicht en misbruikbaar door iedereen met technische kennis, lopen alle iPhone gebruikers die wel eens gebruik maken van een browser een groot risico.

Jailbreak hoort thuis op je eigen computer

Natuurlijk is het verschrikkelijk makkelijk dat je nu over al en heel simpel je iPhone kan jailbreaken. Echter moet een jailbreak om veiligheidsredenen altijd op je eigen desktop worden uitgevoerd, een browser mag dit soort erg grote beveiligingsrisico’s niet bevatten. Gemak weegt in dit geval niet op tegen het risico dat deze exploit met zich meebrengt tegen de risico’s:  een iPhone die volledig onder controle is door een andere externe partij.

Tijdelijke oplossing

Alle normale browsers op de iPhone zijn vatbaar voor de huidige exploit, met als uitzondering Opera Mini. Opera maakt namelijk als enige browser geen gebruik van de render engine achter de standaard browser Safari, namelijk WebKit. Het is tot dat Apple het lek heeft gedicht aan te niet raden om met één van de ‘normale’ browsers met je iPhone over het web te surfen.

Opera Mini web browser (AppStore Link) Opera Mini web browser
Ontwikkelaar: Opera Software ASA
Beoordeling: 17+
Prijs: Free Download

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.

  • Rens

    Betekent dit nou dat mijn iphone gevaar loopt of gevaar kan lopen?

  • Koen

    Nee alleen als er via safari een pdf geopend wordt. In cydia kan je een mod downloaden (PDF Loading Warner van de Bigboss repo (gratis)) die vraagt voordat safari een PDF wil openen. Dit is een tijdelijke oplossing voor het probleem

  • kamyab

    Ik denk van niet ,want ik heb ook nen iphone 4 en ik denk dat er niks kan gebeuren na de jailbreak,want ik heb al mijn iphones tot nu toe gejailbreakt xmaar kun je met deze site ook d ipod touch jailbreaken?

  • Sander Tamaëla

    Ja, met deze website kan je ook een iPod Touch jailbreaken. Het probleem is niet de gejailbreakte iPhone, maar het feit dat er een groot lek in de PDF module van Safari zit. Hierdoor kan iemand zonder waarschuwing je iPhone overnemen.

  • Paul Durden

    Je redenatie gaat niet op en lijkt oorzaak en gevolg op sommige punten door elkaar te halen. Het punt dat je vooral lijkt te missen is dat de kwetsbaarheid niet het gevolg is van het feit dat iemand besloot dat de “jailbreak thuis hoort op een website”, maar omdat er drie kwetsbaarheden/lekken in de code van Apple te vinden zijn waarmee dit mogelijk is. Het enige wat je de jailbreakers zou kunnen verwijten is dat de kwetsbaarheden nu bekend geworden zijn, maar als ze niet bekend waren geworden zou Apple ze nu ook niet kunnen gaan patchen (and trust me: they’re working on that). Het is ook zeker niet zo dat nu “iedereen met technische kennis” de exploits zou kunnen misbruiken om iDevices over te nemen. Zelfs gespecialiseerde security-researchers zijn nu nog bezig om te begrijpen hoe het proces precies werkt, laat staan hoe je de kwetsbaarheden voor andere doeleinden in zou kunnen zetten.

    Bovendien is het niet zo dat als de kwetsbaarheden op deze manier niet bekend waren geworden dat ze niet zouden kunnen worden misbruikt. Er zijn namelijk genoeg mensen die via obscure kanalen exploits zoeken om te verkopen aan mensen die ze willen misbruiken voor wat voor vorm van geldelijk gewin dan ook. Het enige verschil is dat je er dan niets van gehoord had totdat het te laat was. Tot slot zijn er ook andere exploits en is die van JailbreakMe.com alleen een voorbeeld van een exploit die op de iPhone werkt. Zoals @chpwn al zei: You should know that there are /lots/ of public exploits out there, and @comex’s JailbreakMe just uses one of them. No big deal.

    Om de situatie beter te begrijpen raad ik je aan om bijvoorbeeld @esizkur en @0xcharlie te volgen op Twitter.

  • Sander Tamaëla

    @Paul Durden:

    Bedankt voor je uitgebreide reactie. Ik begrijp dat de kwetsbaarheid al lang bestond en dat de jailbreak scene hier alleen maar gebruik van maakt. Doordat de jailbreak methode gebruik maakt van een stuk openbare code (te vinden op http://www.jailbreakme.com/_/), is het een stuk makkelijker om alles te begrijpen. En inderdaad, iedereen met technische kennis is overdreven, maar dat is meer om de ernst van het probleem aan te stippen.

    Daarnaast is er via Cydia PDF loading warner te installeren, die er voor zorgt dat de exploit niet zomaar uit te voeren is.

    Al met al blijft een zeer ernstig lek dat snel gedicht moet worden.

  • Pingback: JailbreakMe.com 3.0 werkt op alle iDevices - iPhone 4 - iPhoned.nl()