Misschien heb je het afgelopen weekend al meegekregen. Volgens veiligheidsonderzoekers zit er een groot veiligheidslek in de iOS-versie van Mail. Het bedrijf ZecOps beweert dat hackers een gemanipuleerde e-mail kunnen sturen en daarmee in staat zijn om het hele systeem over te nemen. Welke mail-provider je hebt, maakt niet uit, en je hoeft de mail niet eens te openen. We werden zelf erg ongerust nadat we ervan hoorden, maar nu heeft Apple een statement gegeven. Een software-update komt eraan, maar zo erg als ZecOps ons wijsmaakt, is het lek helemaal niet.
Op de hoogte blijven van alles rondom veiligheid van je Apple-apparaten? Schrijf je in voor onze nieuwsbrief.
De iPhone 14 Pro nu tot €10 korting per maand!
Heb je al internet van KPN thuis? Profiteer dan van extra voordelen
Dat doet het veiligheidslek in Mail
Om gebruik te maken van het lek, moet een aanvaller een gemanipuleerde e-mail sturen. Vóór iOS 13 moest die daarnaast nog de mail-server kunnen aanpassen, maar door veranderingen in iOS 13 is dat niet meer nodig. Vervolgens kan diegene de complete Mail-app overnemen en zo spam-mails tonen of bestaande berichten lezen. In theorie is het zelfs mogelijk om de complete iPhone of iPad over te nemen. Hiervoor heeft een potentiële hacker echter nog een aanvullend lek in de kernel – het hart van het besturingssysteem – nodig. Op dit moment is er geen dergelijk lek bekend in iOS of iPadOS.
Apple’s reactie
Apple zegt dat het alle informatie over het lek heeft gecontroleerd en tot de conclusie is gekomen dat het geen onmiddellijke bedreiging vormt voor gebruikers. Er zijn weliswaar drie probleempjes in Mail, maar deze zijn alledrie niet genoeg om de veiligheidsmechanismen van iOS te ondermijnen. Daarnaast is er geen bewijs dat het lek ooit actief tegen gebruikers werd gebruikt, in tegenstelling tot wat ZecOps zegt. In de update naar iOS 13.4.5 (dat komt binnenkort) worden de drie gaatjes gesloten, maar volgens Apple gaat het dus meer om kleine bugs en niet om grote veiligheidslekken. Je kunt de Mail-app dus blijven gebruiken.
Niet zo netjes
ZecOps had de lekken eerst bij Apple gemeld, maar er tegelijkertijd ook voor gekozen om het op grote schaal bekend te maken. In de veiligheidswereld wordt een dergelijke aanpak niet erg gewaardeerd. Je geeft een bedrijf namelijk eerst de tijd om te reageren en het veiligheidslek te dichten; pas als het bedrijf geen gehoor geeft maak je het voor iedereen bekend. Nog een teken dat ZecOps mogelijk meer uit is op aandacht dan dat het de beveiliging van computersystemen wil verbeteren.
Bron: ZecOps, statement van Apple
Praat mee!