Als je Mac nog niet is bijgewerkt naar OS X 10.11.4, doe het dan vandaag nog. Apple heeft in de op 21 maart vrijgegeven update een serieuze kwetsbaarheid in iMessage opgelost die toegang tot onder andere de hele bericht­geschiedenis toelaat.

Dit blijkt uit een analyse van security-onderzoekers van Bishop Fox. De berichten-app op OS X voerde javascript die onderdeel is van een link uit, waardoor kwaadaardige scripts hun gang konden gaan.

Alles klikbaar De berichten-app van OS X maakt links naar websites standaard klikbaar, zodat deze snel te openen zijn. Dat is handig, maar Apple schermde de functie onvoldoende af. Hierdoor konden kon javascript-code die met javascript:// begint worden verstuurd en werd deze bovendien automatisch klikbaar. Na een klik werd de potentieel kwaadaardige code binnen de sandbox van iMessage uitgevoerd. Met simpele javascript-code kon zo de complete berichten-database (inclusief alle bijlagen en foto’s) van de ontvanger naar een server van de aanvaller gekopieerd worden.

De kwaadaardige javascript-code kon ook achter een legitieme URL geplakt worden. De berichten-app voerde deze na een klik nog steeds uit, terwijl de ontvanger op een legitieme link dacht te klikken.

Lek gedicht De onderzoekers hebben hun bevindingen pas gepubliceerd nadat het lek door Apple in OS X 10.11.4 is gedicht. Voor zover bekend is er geen misbruik van gemaakt. Een complete technische beschrijving is bij Bishop Fox te vinden en een voorbeeld van de javascript-exploit is op GitHub geplaatst.