Nieuws

'Belangrijk deel broncode iOS 9 uitgelekt'

8 februari 2018 13:19

De broncode van iOS is deels uitgelekt. Het gaat om het iBoot-systeem van iOS 9.

Een deel van de broncode van iOS 9 is door een gebruiker van GitHub online gezet, meldt Motherboard. Het gaat om het iBoot-systeem, deel van de broncode van iOS 9 dat in 2015 verscheen. Hoewel het om een oudere iOS-versie gaat, is het aannemelijk dat de broncode in de huidige versie van iOS nog voor een deel wordt gebruikt.

De code is niet volledig, maar toch zouden zowel experts als kwaadwillenden in de code op zoek kunnen gaan naar kwetsbaarheden in iOS. Bovendien gaat het om code van de zogenoemde bootloader, het eerste proces dat bij het opstarten door een iOS-apparaat wordt geladen en dat controleert of er wel een vertrouwd besturingssysteem wordt opgestart. Dat maakt eventuele kwetsbaarheden direct een stuk schadelijker.

Grootste lek

Beveiligingsonderzoeker Jonathan Levin spreekt van "het grootste lek in de geschiedenis". Apple heeft een deel van de broncode van iOS openbaar gemaakt, maar de bootloader altijd geheim gehouden. Net als andere bedrijven beloont Apple het melden van kwetsbaarheden met geldbedragen. Voor het melden van lekken in de bootloader betaalt Apple het meest: tot 200.000 dollar.

De gelekte code maakt het makkelijker om te zoeken naar kwetsbaarheden in iOS. Die zouden door kwaadwillenden misbruikt kunnen worden, of kunnen zorgen voor een nieuwe methode voor jailbreaken. Dan kan software die niet door Apple is gecontroleerd toch op iOS-apparaten worden geladen.

Het lekken van de bootloader is echter geen garantie dat er ook daadwerkelijk kwetsbaarheden gevonden zullen worden. Eventuele kwetsbaarheden zijn op deze korte termijn voor zover bekend nog niet ontdekt. Mocht dat wel het geval zijn, zou het kunnen dat onderzoekers die kwetsbaarheden bij Apple melden, zodat ze gedicht kunnen worden.

Update: reactie Apple

Apple stelt in een reactie dat het lek van de 3 jaar oude broncode geen invloed op de beveiliging van iOS zou hebben. De broncode is inmiddels offline gehaald.

Lees ook:

Lek in iOS liet hackers slimme sloten openen

Hackers dreigen iOS-lek aan geheime diensten te verkopen

5 vragen over zero days