Afluisterlek blijft open in oudere iPhones

De deze week uitgebrachte patch brengt iOS op versie 4.3.5. Apple meldt kort dat dit een kwetsbaarheid oplost in de controle (validation) van beveiligingscertificaten. Aanvullend onderzoek van security-experts wijst uit dat het een kritieke patch is. Via dit gat kunnen kwaadwillenden namelijk SSL-verkeer onderscheppen zonder dat eindgebruikers iets merken.

Negen jaar oud IE-lek

Dat onderscheppen is geen theoretisch gevaar: een bestaande SSL-sniffer is ge-update om dit lek te benutten. De bekende hacker Moxie Marlinspike heeft zijn tool sslsniff bijgewerkt om ongepatchte iPhones af te kunnen luisteren. Dat betreft dus niet het spraakverkeer van die smartphone, maar beveiligd dataverkeer zoals inlogs voor sociale netwerken en websites, e-mail en ook e-bankieren. Dit lek is ook aanwezig in de iPad en iPod Touch.

Sslsniff viert nu bijna zijn negende verjaardag. Marlinspike heeft de tool in 2002 gemaakt en vrijgegeven als 'proof of concept' voor een door hem ontdekt beveiligingsgat (BasicConstraints). Dat is een implementatiefout in Internet Explorer (versies 5.0, 5.5 en vooral 6.0). De toenmalige browsers Netscape en het daarvan afgeleide Mozilla waren niet kwetsbaar, maar de browserengine Webkit wel. Chrome en Safari (gebaseerd op Webkit) bestonden toen nog niet.

Goedgelovig

De fout zit erin dat de cliëntsoftware, zoals een browser, de digitale handtekeningen wel controleert, maar de certificaten zelf niet. Daardoor valt er met een vervalst certificaat handtekeningen te zetten die als valide worden geaccepteerd. Effectief is daardoor beveiligd verkeer af te luisteren, zonder dat de gebruiker enige melding of waarschuwing krijgt.

Inmiddels is dat lek in IE en Webkit allang gedicht, maar Apple heeft veel later in iOS die antieke fout laten zitten. Het mobiele besturingssysteem is dus kwetsbaar voor dat negen jaar oude lek. Patch 4.3.5 dicht dit gat, maar niet voor oudere iPhones.

Oudere iPhones onveilig

De net uitgebrachte patch is namelijk alleen voor de iPhone 4 en de 3G S, de iPad 2 en de oorspronkelijke iPad, en de vierde en derde generatie van de iPod Touch. De allereerste iPhone en de iPhone 3G staan in de kou, net als de eerste twee generaties van de iPod Touch. Apple hanteert al jaren het beleid dat het de huidige en de voorgaande versie van zijn producten ondersteunt. Dat betreft ook securitypatches.

Overigens verwijst de melding in iTunes voor deze patch naar een Nederlandse supportpagina waar die fix zelf tot op heden nog altijd niet wordt genoemd. Op het Engelstalige origineel van die pagina staat de patch wel vermeld, met link naar meer informatie erover. iOS-gebruikers wordt aangeraden versie 4.3.5 zo snel mogelijk te installeren.

SSL-afluistertool

Sslsniff is in de loop der tijd al uitgebreid om meer SSL-afluistermogelijkheden te bieden. Het laat kwaadwillenden de beveiligde communicatie afluisteren van Internet Explorer, Firefox, Chrome, Thunderbrid, Outlook, Evolution, Pidgin, AIM en elk andere cliëntprogramma dat de Microsoft CryptoAPI gebruikt, stelt hacker Marlinspike.

Het is dus een algemene tool om man-in-the-middle aanvallen uit te voeren op beveiligd netwerkverkeer. Een aanvaller moet hiervoor wel op hetzelfde lokale netwerk zitten als het doelwit. Dat is bij WiFi-netwerken - zeker publieke - geen groot probleem. Daar is SSL een manier om die relatief onveilige netwerken toch veilig te gebruiken.