Stef Stienstra
Wat vorig jaar niet lukte, hebben computerveiligheidsdeskundigen Vincenzo Iozzo van het Duitse bedrijf Zynamics en Ralf-Philipp Weinmanns van de Universiteit Luxemburg op 25 maart wél klaargespeeld.
Tijdens de PWN20WN hacker-wedstrijd in Vancouver kraakten ze de code en de Data Execution Prevention (DEP) van Apple’s iPhone.
Â
Reverse engineering-specialist Lozzo kon de DEP, die de invoer van willekeurige codes en daarmee het gebruik van de bufferoverloopcapaciteit in de iPhone verhindert, omzeilen door bestaande delen van codes te combineren met behulp van return-into-libc of return-oriented-programming.
Â
Samen met Weinmanns van het Luxemburgse laboratorium voor algoritmen, cryptologie en veiligheid (LACS), toonde hij voor het eerst in het openbaar deze techniek. Zodra een iPhone-gebruiker op een gemanipuleerde website komt, is een eigen code op de iPhone in te voeren en zijn bijvoorbeeld alle opgeslagen sms-berichten te lezen. Apple kent inmiddels de inbraakmogelijkheid en komt met verdere details zodra het lek gedicht is.
