Lek in iOS-versie van Safari is 30 duizend euro waard

Nederlandse beveiligingsexperts hebben woensdag tijdens de Pwn2Own hackwedstrijd een beveiligingslek gevonden in de iOS versie van Safari.

Het lek in Safari maakt het mogelijk om met een simpel javascriptje in een website zowel foto’s, video’s, de browsergeschiedenis en het adresboek te stelen. Medewerkers van het beveiligingsbedrijf Certified Secure toonden dit aan tijdens de Pwn2Own hackwedstrijd. De gestolen data konden zij naar hun eigen servers versturen. Met het vinden van het lek won het bedrijf de hackwedstrijd voor mobiele apparaten en ontvingen daarvoor een prijs van 30 duizend euro.

De opdracht van de wedstrijd was om een beveiligingslek te vinden in iOS 5.1.1 maar Joost Pol van beveiligingsbedrijf Certified Secure vertelde aan Tweakers.net dat het lek waarschijnlijk ook in iOS 6 zit, dat vanaf gisteravond massaal gedownload wordt. Het bedrijf had de hackcode getest op de gold master van iOS 6. De gold master wordt meestal de uiteindelijke versie die het publiek downloadt.

Hoewel Pol en collega’s de hack slechts voor de lol en de wedstrijd uitvoerden, zegt Pol dat het lek wel door kwaadwillenden misbruikt kan worden. Je gegevens kunnen bijvoorbeeld via besmette advertenties op een website gestolen worden. Overigens vermoedt Pol dat Android- en BlackBerry-toestellen het zelfde lek hebben omdat deze besturingssystemen ook gebruikmaken van de webkit-engine van Safari. Pol heeft dat echter niet getest.