23 augustus 2016 15:05

iPhones en iPads kwetsbaar door lek in sandbox

Apple’s sandboxing-systeem is niet onfeilbaar: verschillende lekken zorgen ervoor dat apps niet geïsoleerd zijn en data onderling gedeeld kan worden.

Een internationaal team van wetenschappers stuitten deze maand op een ernstige fout in Apple’s sandbox. Die sandbox is een van de paradepaardjes van Apple’s iOS, en de laatste “verdedigingslijn” tegen bijvoorbeeld diefstal of malware. Bij sandboxing worden apps geïsoleerd: ze kunnen enkel aan de gegevens die ze nodig hebben om te functioneren. De rest van het besturingssysteem en de gebruikersgegevens is op die manier niet toegankelijk zonder expliciete toestemming.

Veiliger?

Het gezelschap van Duitse, Amerikaanse en Roemeense onderzoekers ontdekten dat die barrière toch omzeild kan worden.“Veel mensen denken dat het gesloten besturingssysteem van Apple veiliger is dan het open Android-systeem,” zegt Ahmad-Reza Sadeghi, professor aan de Universiteit van Darmstadt. “We wilden daarom de beveiligingstechnologieën van Apple van dichterbij bekijken.”
[related_article id=”167483″]

Lek in de zandbak

Door de sandbox-profielen van verschillende apps om te zetten in leesbare vorm, en een tool los te laten op de informatie, kwam het team erachter dat het systeem lekken vertoonde. Onder andere konden apps gegevens delen zonder toestemming, kregen apps toegang tot de metadata van foto’s, en kon de toegang tot de opslagruimte voor de gebruiker worden geblokkeerd. Zo ligt gevoelige informatie voor het oprapen.

Sadeghi laat weten dat Apple meteen verwittigd is en inmiddels contact heeft opgenomen. De kwetsbaarheden zouden in een volgende update van de baan worden geholpen. De professor liet zich evenwel kritisch uit over de gesloten aanpak van Apple: “Toch zijn we nog steeds van mening dat Apple zich te veel afschermt voor wetenschappelijk onderzoek en samenwerking afwendt.”