Twee Nederlandse beveiligingsexperts hebben een methode gevonden om op afstand toegang te krijgen tot contactgegevens, foto’s en de browsergeschiedenis van een iOS-apparaat. Ze demonstreerden hun methode vandaag met succes tijdens de Mobile Pwn2Own hackerswedstrijd die in Amsterdam gehouden werd. Daarmee hebben ze 30.000 dollar gewonnen.

Joost Pol en Daan Keuper van het beveiligingsbedrijf Certified Secure werkten slechts een paar weken aan hun hack. Daarbij maakten ze gebruik van een lek in WebKit, de basis waar Safari op draait. Door een bepaalde code onzichtbaar te verstoppen in een website konden ze zich toegang verschaffen tot gegevens op een iPhone of iPad zodra de site bezocht werd met dat apparaat.

De op handen zijnde iOS 6-update biedt geen oplossing. De hack is namelijk ook met succes uitgevoerd op de golden master van iOS 6. Toch hoeven gebruikers niet bang te zijn dat hun gegevens nu direct in gevaar zijn. Pol en Keuper gaan hun methode niet naar buiten brengen om te voorkomen dat iemand er misbruik van kan maken. Daarbij denken de experts dat iOS nog steeds het meest veilige mobiele platform ter wereld is.

Brian Gorence van het Zero Day Initiative, organisator van de wedstrijd, zegt tegenover Computerworld dat Apple niet direct als ‘schuldige’ aangewezen kan worden, aangezien het probleem in WebKit zit. Dit terwijl Apple zelf initiator is van Webkit. Wel kan het bedrijf als enige snel met een oplossing komen door het lek te dichten in een nieuwe update, zo denkt Gorence.

Verwacht na vanavond dus een snelle tweede update van iOS.