Een schadelijke website kan mijn iPhone infecteren. Feit of fabel?

september 30, 2019

Het idee dat iPhones volledig immuun zijn voor dreigingen is al meerdere keren ontkracht. Hoewel de Apple-smartphones misschien een kleiner doelwit vormen dan Android-apparaten, wordt er gezegd dat je allerlei soort malware kan oppikken door simpelweg een gevaarlijke website te openen, zonder bewust iets van die website te downloaden en te installeren. In deze post zoeken we uit of dat waar is.

 Waarheid: Schadelijke websites hebben de beveiligingsmechanismes van iPhones al meer dan twee jaar gekraakt

Onderzoekers van Google’s Project Zero hebben verschillende gehackte websites ontdekt die al minstens twee jaar iPhones aanvallen. Om dat te kunnen doen, benutten aanvallers 14 zwakke plekken in de software, waarvan er zeven in Safari zaten, de browser die door de overgrote meerderheid van iPhone-gebruikers wordt gebruikt.

Twee andere zwakke plekken stelden malware in staat om de sandbox te omzeilen die iOS gebruikt om te voorkomen dat één app toegang verkrijgt tot de data van andere apps (laat staan deze te wijzigen). En de laatste vijf zijn van invloed op de kernel van iOS, wat de centrale component van het besturingssysteem is. Door de kernel te breken, krijgt de aanvaller root-rechten, die zelfs de eigenaar van de iPhone niet heeft.

De betreffende schadelijke websites konden bijna alle huidige versies van Apple’s mobiele besturingssysteem aanvallen, van iOS 10 tot iOS 12. De aanvallers wijzigden hun strategieën als reactie op updates, en verlegden hun focus volledig op het vinden van nieuwe zwakke plekken.

Wat voor malware werd er geïnstalleerd op geïnfecteerde iPhones?

De geïnfecteerde websites slaagden erin om spyware op de apparaten van de slachtoffers te installeren, waar deze spyware onbeperkte toegangsrechten op het apparaat verkreeg en op de achtergrond werkzaam was zodat gebruikers er niets van zouden merken. Vervolgens pakte het data uit en verzond het deze van het apparaat naar een command-and-control-server, letterlijk elke minuut. De spyware was vooral in het volgende geïnteresseerd:

  • Wachtwoorden en authenticatie-tokens die stonden opgeslagen in de iCloud Keychain. Aanvallers konden deze gegevens gebruiken om blijvende toegang te verkrijgen totaccounts van de slachtoffers en zelfs nog data te stelen nadat de spyware van het apparaat was verwijderd;
  • Berichten in de messengers iMessage, Hangouts, Telegram, Skype, Voxer, Viber en WhatsApp. De malware stal informatie uit de app-databases, waar alle berichten in niet-versleutelde vorm staan opgeslagen;
  • Berichten in de mail-apps Gmail, Yahoo, Outlook, QQmail en MailMaster. De spyware kon deze ook verkrijgen uit de corresponderende app-databases;
  • Belgeschiedenis en sms;
  • Real-time informatie over de locatie van het apparaat als GSP ingeschakeld was;
  • Adresboek;
  • Foto’s;
  • Notities;
  • Voicememo’s.

Daarnaast verstuurde de malware als de command-and-control-server dit verzocht een lijst met de apps op het apparaat naar de eigenaars van de malware, en kon de data daarvan worden gevolgd. En erger nog: het verstuurde al die informatie in platte tekst. In andere woorden: als een geïnfecteerde iPhone verbinding maakte met een openbaar wifi-netwerk, kon iedereen — niet alleen de eigenaars van de spyware — de wachtwoorden, berichten en andere informatie over het slachtoffer die de malware verstuurde inzien.

Het is opmerkelijk dat het de ontwikkelaars van de spyware niet uitmaakte of de malware een vaste voet aan de grond kon krijgen in het systeem; de spyware zou bij het opnieuw opstarten van de smartphone toch verdwijnen. Maar gezien de hoeveelheid informatie die de malware in één keer kon stelen, is de verdwijning ervan een schrale troost.

De dreiging is nu geweken … of niet?

Apple-ontwikkelaars repareerden de laatste zwakke plekken die cybercriminelen konden benutten als deel van deze campagne in iOS 12.1.4 in begin februari 2019. De laatste versies van het besturingssysteem zijn daarom beschermd tegen deze specifieke aanvallen.

Desalniettemin zeggen experts dat er meerdere duizenden gebruikers per week de schadelijke websites bezochten. Dit betekent dat er naar alle waarschijnlijkheid veel slachtoffers waren. De inmiddels geneutraliseerde websites kunnen nu bovendien alweer zijn vervangen door nieuwe websites die zwakke plekken benutten die nog niet zijn ontdekt.

Hoe voorkomt u dat uw iPhone wordt geïnfecteerd met malware?

Zoals u kunt zien, kan uw Apple-smartphone inderdaad worden geïnfecteerd door een schadelijke website, en de gevolgen daarvan kunnen ernstig zijn. Daarom raden we u aan om voorzichtig te zijn, zelfs als u ervan overtuigd bent dat niets een bedreiging vormt voor uw gadget.

  • Zorg ervoor dat uw iPhone altijd de laatste versie van iOS gebruikt. Download uploads zodra deze beschikbaar zijn. Ontwikkelaars repareren zwakke plekken waar cybercriminelen gebruik van maken (en zoals u ziet, is deze dreiging zeker niet theoretisch) in nieuwe iOS-versies.
  • Klik niet op links in ads, e-mails, berichten van vreemden, enzovoorts. U moet tevens voorzichtig zijn wat betreft zoekresultaten: als u twijfels hebt over de integriteit van een bepaalde bron, is het beter om deze helemaal niet te openen.

Een veiligheidssysteem dat gebruikmaakt van gedragsanalyse-technologie dat zelfs voorheen onbekende dreigingen zou kunnen blokkeren, kan een manier zijn om de iPhone te beschermen. Maar helaas zijn er geen volwaardige antivirus-systemen beschikbaar voor iOS.

Samengevat: is het waar of onwaar dat de iPhone kan worden geïnfecteerd door een schadelijke website te bezoeken?

 Dit is waar. Schadelijke websites benutten zwakke plekken in de mobiele browser en in iOS zelf om allerlei soorten malware te installeren. De bronnen die worden geciteerd door onderzoekers van Google’s Project Zero zijn niet langer gevaarlijk, maar er kunnen op elk moment nieuwe opduiken.