Opinie

Een toverspreuk voor elke iPhone

Marc Hijink

Legilimens! Dankzij de Harry Potter-verslaving van mijn dochter weet ik dat je met die toverspreuk op afstand in iemands hoofd kunt kruipen en diens herinneringen kunt bekijken. Ian Beer, een veiligheidsonderzoeker in dienst van Google, ontdekte net zo’n krachtige spreuk als ‘Legilimens’, waarmee hij kon meegluren in elke iPhone in zijn buurt, zonder het toestel aan te raken.

„Ik kon alle foto’s bekijken, alle mail lezen, alle privéberichten kopiëren en live meekijken wat er op het toestel gebeurde”, maakte Beer deze maand bekend. Hij kon ook ongemerkt de camera en de microfoon aftappen; de droom van elke spion.

Beer hackte de iPhone via een kwetsbaarheid in AirDrop. AirDrop is de techniek waarmee iPhone-gebruikers elkaar en Mac-computers gemakkelijk foto’s en bestanden kunnen doorgeven. AirDrop is ook de manier waarop draadloze potloodventers hun dick pics kunnen versturen in een volle treincoupé, maar dat terzijde.

Het gemak van AirDrop heeft een prijs: een iPhone luistert continu naar alles wat er in de buurt aan wifi-data verstuurd wordt. Dat is normaal gesproken goed afgesloten, maar Ian Beer vond een kwetsbaarheid waarmee hij toegang kreeg tot elke iPhone. Het werkte zelfs op toestellen waarop AirDrop was uitgeschakeld. Pure magie, dus.

De uitleg van Ian Beer leest als een spannend boek. Stap voor stap baant hij zich een weg door Apples zwaarbeveiligde besturingssysteem en levert de filmpjes als bewijs.

Deze hackaanval zou zich zelfs als een wormvirus kunnen verspreiden over de wereld, springend van de ene iPhone op de andere, en alle toestellen besmetten. Dat scenario lijkt afkomstig uit een slechte spionagefilm.

Scene 1: schurk activeert de aanval in vol winkelcentrum.

Scene 2: besmette telefoons geven de hack door aan elke andere iPhone die ze tegenkomen.

Scene 3: schurk zet met één druk op de knop het scherm van een miljard iPhones op zwart.

Scene 4: schurk lacht satanisch en aait zijn witte kat.

Zo’n iPhone-pandemie bleef Apple bespaard omdat Ian Beer voor Project Zero werkt. Dat is Googles divisie die naar gaten in software speurt, met de bedoeling ze te repareren. Apple werd gewaarschuwd en kreeg tijd om de fout te herstellen. Dat gebeurde in mei, met besturingssysteem iOS 13.5. In diezelfde update zat het bluetooth waarschuwingssysteem voor de Coronamelder.

Eind goed, al goed? Helaas. AirDrop smeekt erom gehackt te worden, waarschuwt Ian Beer. Hij kreeg het in zijn eentje voor elkaar: in zes maanden tijd, werkend op zijn slaapkamer met schreeuwende kinderen om hem heen. Kwaadwillende hackers zullen zich ook op AirDrop gestort hebben.

Deze hack is nog niet ‘in het wild’ geconstateerd, maar dat wil niet zeggen dat er nooit misbruik van gemaakt is. Reken erop dat overheden en geheime diensten net zulke toverspreuken vinden en voor zichzelf houden. Zo’n zero-day exploit, een kwetsbaarheid die nog niet gerepareerd is, is goud waard. Er staat ons nog heel wat zwarte magie te wachten.

Marc Hijink schrijft over technologie

Reageren

Reageren op dit artikel kan alleen met een abonnement. Heeft u al een abonnement, log dan hieronder in.