NCSC Beveiligingsadvies: Verholpen Kwetsbaarheid in Apple iOS en iPadOS

Inleiding

Het Nationaal Cyber Security Centrum (NCSC) heeft aangekondigd dat er een beveiligingslek in Apple’s iOS en iPadOS is verholpen. Deze kwetsbaarheid, met identificatie NCSC-2025-0046, betreft een mogelijke aanval via een fysiek apparaat. Dit document biedt inzicht in de aard van de kwetsbaarheid, het risico, de impact en de beschikbare oplossingen.

Kwetsbaarheid Details

• Beschrijving: Er is een kwetsbaarheid ontdekt in Apple’s mobiele besturingssystemen, iOS en iPadOS. Deze kwetsbaarheid maakte het mogelijk voor een aanvaller met fysieke toegang om USB-restricties te omzeilen, zelfs wanneer het apparaat vergrendeld is. Zo kon ongeautoriseerde software op het apparaat worden geïnstalleerd. Het is echter belangrijk om op te merken dat succesvol misbruik van deze kwetsbaarheid geavanceerde technieken vereist en dat deze slechts beperkt en gericht is misbruikt.

• Technisch Detail: De specifieke uitbuitingstechniek betreft een ‘Missing Protection Mechanism for Alternate Hardware Interface’. Dit betekent dat er in de beveiliging van het apparaat een mechanisme ontbrak dat bescherming biedt tegen aanvallen via alternatieve hardware-interfaces.

Beoordeling van Risico en Impact

• Kans op Exploitatie: De kans dat deze kwetsbaarheid kan worden geëxploiteerd is aangemerkt als ‘low’. Dit komt doordat fysieke toegang tot het apparaat nodig is en er geavanceerde technieken vereist zijn om succesvol misbruik te maken van de kwetsbaarheid.

• Schadepotentieel: Ondanks de lage kans op exploitatie is het potentiële schadeeffect ‘high’ geclassificeerd. De mogelijke gevolgen voor de integriteit en veiligheid van gevoelige gegevens op het apparaat zijn serieus.

Betrokken Systemen

• Platforms: De kwetsbaarheid is ontdekt op apparaten die draaien op de systemen iPadOS en iPhoneOS.

• Applicaties: De betroffen producten zijn Apple iOS en Apple iPadOS.

Oplossingen en Updates

Apple heeft beveiligingsupdates uitgebracht om dit probleem te verhelpen. Gebruikers worden aangeraden om hun apparaten zo snel mogelijk bij te werken. Voor meer technische details en downloadlinks kunt u de officiële Apple-updates hier en hier bekijken.

CVE Referentie

De zwakke plek is gedocumenteerd als CVE-2025-24200.

Juridische Disclaimer

Dit beveiligingsadvies is verstrekt als algemene informatie en is bedoeld om professionele partijen te helpen bij het verhogen van de veiligheidsstandaarden. Hoewel wij zorgvuldigheid in acht hebben genomen bij de samenstelling van dit advies, is het NCSC niet aansprakelijk voor de volledigheid of nauwkeurigheid van de hier gepresenteerde informatie. Gebruik van deze informatie is onderhevig aan voorwaarden en geschillen vallen onder het Nederlands recht en worden beslecht door de bevoegde rechtbank in Den Haag.

Mocht u vragen hebben of problemen ondervinden, wordt u aangemoedigd contact op te nemen met de IT-beheerders of het beveiligingsteam van uw organisatie. Zorg ervoor dat uw apparaten altijd up-to-date zijn om beveiligingsrisico’s te minimaliseren.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----