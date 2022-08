We gebruiken elke dag complexe computersystemen, maar we staan er vaak niet bij stil hoe gemakkelijk daar foutjes in kunnen sluipen, met nare gevolgen. Hacker Thijs Alkemade vond twee jaar geleden een bijzonder gemene kwetsbaarheid in macOS, het besturingssysteem achter de Macs van Apple. Deze week mocht hij zijn vondst presenteren op hackerscongres Black Hat in de Verenigde Staten.

Een ‘process injection’-kwetsbaarheid, heet het, vertelt Alkemade. ,,Met zo’n kwetsbaarheid kan iemand ontsnappen aan de beveiliging rond een app, de ‘sandbox’, en zo van alles in andere delen van het systeem doen. Bijvoorbeeld hogere rechten aan de gebruiker geven, of beveiligingsmaatregelen omzeilen.” Zo kan een hacker zomaar je systeem overnemen.

Of iemand daadwerkelijk misbruik heeft gemaakt van dit lek, is niet duidelijk. Wel dat er een risico was: je kon hiermee miljoenen gebruikers benadelen, aldus Alkemade.

Eerder 200.000 dollar gewonnen met gevonden lek

De kwetsbaarheid was zó groot dat hij zijn bevindingen mocht komen presenteren voor de duizenden bezoekers van Black Hat, een groot congres voor hackers en beveiligingsexperts dat naar eigen zeggen zo’n 20.000 bezoekers per jaar trekt.

,,Het is wel het grootste publiek waar ik ooit voor gesproken heb”, zegt Alkemade grijnzend. ,,Maar het is qua impact niet de belangrijkste kwetsbaarheid die ik ooit ontdekt heb, denk ik. Dat was toen we een gat in Zoom hadden gevonden.”

Met die vondst wonnen zijn collega Daan Keuper en hij een hackwedstrijd, goed voor een prijs van zo’n 200.000 dollar (193.000 euro). Via de gevonden Zoom-kwetsbaarheid konden kwaadwillenden zo op het systeem van een argeloze Zoom-gebruiker inbreken, zonder dat die ook maar íets had gedaan.

In systeem van ruim tien jaar oud gevonden

Maar hoe sluipen zulke grote kwetsbaarheden dan eigenlijk de software in? ,,In het geval van MacOS gaat het om een functie die er al sinds 2011 in zat, de ‘saved state’.” Die zorgt ervoor dat jij als je je Mac opnieuw opstart, gewoon verder kan gaan in de apps die je de vorige keer aan het gebruiken was.

,,Toen die functie werd gebouwd, was er niks aan de hand”, zegt Alkemade. ,,Maar Apple zit niet stil. Ze zijn al jaren de beveiliging aan het veranderen. Ergens is er toen gaandeweg een kwetsbaarheid in de verbinding tussen deze en nieuwe functies geslopen. Dat valt niet op, omdat ze meestal niet in oude functies gaan zitten rommelen: het werkt nu, voor je het weet maak je het kapot.”

Een beetje porren in de software

Als onderzoeker bij het IT-beveiligingsbedrijf Computest, is het Alkemades werk om juist op dat soort plekjes te gaan zitten porren. ,,Het begint vaak gewoon met nieuwsgierigheid. Ik zit wat te kijken en ik zie een type bestand dat ik niet ken.”

Hij probeert vervolgens van alles met zo’n onbekend bestand. ,,Ik gebruik ook zelf dagelijks MacOS, dus dan vallen me dagelijks dingen op. Meestal geen kwetsbaarheden, maar wel dingen waardoor ik het systeem beter begrijp.”

‘Apple is niet echt supersnel’

Vindt hij wel een kwetsbaarheid, dan neemt hij contact op met het bedrijf achter de software. ,,Ze reageren allemaal anders. Apple is bijvoorbeeld heel stil in dit soort dingen. Je geeft het aan hun, enkele maanden later zeggen ze: dit is opgelost, en zetten ze je soms in de credits.” Frustrerender, vindt hij, dan bedrijven als Microsoft en Adobe. ,,Die stellen vragen: zou het slim zijn als we het zo oplossen? Heb jij nog suggesties?”

Uiteindelijk duurt het hele proces van vinden tot oplossen soms lang. ,,Ik vond deze kwetsbaarheid in december 2020. In oktober vorig jaar werd het opgelost, en nu mag ik het openbaar maken.” Alkemade grinnikt. ,,Apple is niet echt supersnel.”

