Beveiligingslekken treffen iPhones en Android-telefoons: update nu!

In zowel het iOS-besturingssysteem van iPhones als in het Android-besturingssysteem zijn gevaarlijke kwetsbaarheden getroffen. Via deze zogenaamde zero-day beveiligingslekken konden kwaadwillenden zonder interactie van jou als eigenaar van het toestel allerlei zaken verrichten. Update je besturingssysteem zo snel mogelijk.

We bespreken per besturingssysteem wat er aan de hand is én wat je kunt doen om je telefoon te updaten.

Het is een bekend gegeven dat Google maandelijks kwetsbaarheden oplost die in besturingssysteem Android zijn ontdekt. In de patchcyclus van september is een eerder ontdekt zero-day beveiligingslek verholpen, zo meldt Security.nl.

De term zero-day lek wordt gebruikt voor beveiligingslekken die pas worden ontdekt op het moment dat kwaadwillenden er al actief misbruik van maken. Dat is uiteraard een ernstige kwestie waarbij de grootst mogelijke urgentie geboden is, dus vanaf het moment van ontdekking heeft de leverancier als het ware nul dagen om het lek te verhelpen.

In dit geval ging het om een kwetsbaarheid waardoor een aanvaller – zowel rechtstreeks als via een besmette app – de gebruikersrechten op een telefoon kan verhogen. Dat houdt in dat ze van alles kunnen doen om toegang te krijgen tot jouw toestel én tot de gevoelige informatie die daar ongetwijfeld op te vinden valt. Dat een dergelijke situatie onwenselijk is, behoeft uiteraard geen nadere toelichting.

Naast dit lek zijn er echter óók meerdere lekken verholpen waardoor het mogelijk was om Android-telefoons op afstand over te nemen. Om kwaadwillenden niet wijzer te maken dan ze al zijn, verstrekt Google geen details over deze kwetsbaarheden. Wel wordt gesteld dat een aanvaller 'dichtbij' moet zijn om een aanval via deze lekken te laten slagen. Het ligt dan ook voor de hand te veronderstellen dat deze lekken in de Bluetooth-functionaliteit hebben gezeten, al valt dat niet met 100 procent zekerheid te zeggen.

Tot slot is er een kwetsbaarheid in de code van chipfabrikant Qualcomm verholpen. Dit ging om een kwetsbaarheid in de wifi-firmware van bepaalde chipsets: aanvallers konden bewust het interne geheugen manipuleren zodat er foutmeldingen optreden, meestal met als doel om vervolgens bepaalde code op een toestel uit te kunnen voeren.

Omdat er verschillende fabrikanten zijn die Android-toestellen produceren, werkt Google met zogenaamde patchniveaus. Google verhelpt de kwetsbaarheden en rolt updates uit naar de fabrikanten, maar het is aan de fabrikanten zélf om deze updates te verwerken in hun software om ze daadwerkelijk uit te kunnen rollen naar de eindgebruikers – of meer specifiek de telefoonbezitters.

De meest recente updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13. Toestellen die nog op een oudere versie van Android draaien, vallen helaas buiten de boot. Alle fabrikanten zijn een maand geleden door Google geïnformeerd en hebben dus ruim de tijd gehad om deze updates toe te passen. Dat biedt echter geen garantie dat alle fabrikanten dit daadwerkelijk hebben gedaan. 

Volg de instructies van Google om te zien welke Android-versie je hebt én hoe je jouw Android-versie kunt updaten indien er updates beschikbaar zijn.

Ook bezitters van een iPhone doen er verstandig aan om hun toestel zo snel mogelijk te updaten: Apple heeft twee zero-day lekken aangetroffen in besturingssysteem iOS. Via deze beveiligingslekken kon de zogenaamde Pegasus-spyware worden geïnstalleerd, en dat zonder tussenkomst van de gebruiker. 

Security.nl meldt dat het gaat om lekken in de functionaliteiten ImageIO en Wallet. Aanvallers die een malafide afbeelding of bijlage versturen – bijvoorbeeld via iMessage – konden willekeurige code op het toestel uitvoeren. In één geval is ontdekt dat via deze aanvalsmethode de Pegasus-spyware is geïnstalleerd op het toestel van een medewerker van een niet nader genoemde, internationaal actieve organisatie.

En hoewel dit soort aanvallen met name gericht zijn op personen die beroepshalve over gevoelige informatie kunnen beschikken, kan het zeker geen kwaad om je toestel tóch up-to-date te houden.

Deze beveiligingslekken treffen alle iPhones – en iPads – met besturingssysteem iOS 16.6 en eerder. Met update iOS 16.6.1 (iPhone) en iPadOS 16.6.1 (iPad) zijn deze beveiligingslekken verholpen.

Updaten gaat als volgt. Ga naar Instellingen, kies vervolgens Algemeen en ga dan naar de functie Software-update. Als er een update in de wachtrij staat, zie je dat gelijk op je scherm. Volg in dat geval de instructies van je telefoon zodat je de nieuwste iOS-versie kunt downloaden en installeren.

Toevoeging 12 september 2023: Voor oudere iPhones en iPads heeft Apple óók een update uitgebracht, al betreft dit een update voor toestellen die vanwege hun ouderdom buiten het reguliere updatetraject vallen. Vanwege de ernst van dit lek – het wordt actief misbruikt én er is geen enkele input nodig van de telefoonbezitter – is er tóch een uitzondering gemaakt.

Dit betreft update iOS en iPadOS 15.7.9, meldt Tweakers. Hierover zegt Tweakers het volgende: "Besturingssysteemversies iOS 15.7.9, iPadOS 15.7.9 en macOS Big Sur 11.7.10 zijn bedoeld voor oudere systemen van Apple. iOS 15.7.9 is bijvoorbeeld beschikbaar voor alle iPhone 6s-, iPhone 7-, eerste generatie iPhone SE-, iPad Air 2-, vierde generatie iPad mini- en zevende generatie iPod Touch-toestellen."

Bron: Apple, Citizen Lab, Google, Security.nl, Tweakers