Apple repareert ‘simpele’ bug die iMessages kon lekken
Rutger Otto

Door op een speciale JavaScript-link van kwaadwillenden te klikken, was het voor hen mogelijk om je chatgeschiedenis te achterhalen. De bug op OS X is inmiddels opgelost door Apple.

Nieuwe iMessage-bug

Er is weer een bug gevonden op de Mac-versie van iMessage. Vorige maand kregen we te horen dat de iOS-versie van de Berichten-app een lek had waarmee mensen door de encryptie konden breken, om toegang te krijgen tot verstuurde foto’s en video’s. Die fout werd erkend door Apple en in een patch in iOS 9.3 opgelost.

Maar rond dezelfde tijd werd nog een andere bug gefixt. Dat schrijven onderzoekers van Bishop Fox. Door in de dienst op OS X op een speciale link te klikken, konden gegevens van gebruikers worden achterhaald. Die werden naar een externe server verstuurd. Daar komen niet alleen onderschepte berichten te staan, maar ook bijlages zoals foto’s en video’s.

Vrij simpele bug

Volgens de beveiligingsonderzoekers hoefde je geen diploma te hebben om van het lek gebruik te maken. Als je de basis van JavaScript snapte, was dat al genoeg om er misbruik van te maken. “In vergelijking met de iOS-bug is dit een vrij simpele fout”, schrijven de onderzoekers.

De link die werd verstuurd via de dienst, kon er gewoon als een legitieme link uitzien, maar na het klikken vond er direct een zogeheten cross-site scripting aanval plaats die je data naar een server uploadde. Hieronder kun je zien hoe zo’n aanval er uitziet.

Apple heeft de bug gerepareerd

De onderzoekers van Bishop Fox hebben Apple direct op de hoogte gesteld van de bug om het bedrijf de fout te laten herstellen. Daarna werd de bug online gepost. In maart heeft Apple een update uitgegeven waarmee de bug wordt opgelast. Volgens de onderzoekers is er nooit bewijs gevonden dat het lek door criminelen is misbruikt.

Lees meer over Apple

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.