Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Stagiair bij Apple was verantwoordelijk voor lekken iBoot-broncode'

Volgens bronnen van Motherboard is een voormalige Apple-stagiair verantwoordelijk voor het ontvreemden van de broncode van de iBoot-bootloader, die van de week op GitHub verscheen. Hij wilde de code alleen met vijf goede vrienden delen voor security-onderzoek.

De stagiair werd volgens het artikel onder druk gezet door zijn vrienden in de jailbreakinggemeenschap. Zij zouden alleen bonafide bedoelingen gehad hebben en niet van plan zijn om de broncode verder te delen. Na verloop van tijd is dit alsnog gebeurd en de mensen die de code in handen kregen, verspreidden deze weer verder. Wie van de vrienden hiermee begon, is niet duidelijk. Motherboard baseert het verhaal op gesprekken met leden van deze vriendengroep en screenshots en sms-berichten van hun gesprekken.

Ook heeft de site code en tools in kunnen zien die niet uitgelekt zijn. Nu het bij Apple duidelijk is waar het oorspronkelijke lek zit, is het onwaarschijnlijk dat deze materialen nog gaan uitlekken.

De code zou in 2016 van Apple gekopieerd zijn en is ergens in de loop van 2017 verder gaan circuleren. In de herfst van 2017 begonnen screenshots van de broncode te verschijnen op Discord-servers van jailbreakers, om anderen mee te plagen. Toen de originele groep vrienden dit vernam, besloot minstens een van de vrienden zijn kopie te verwijderen, om zich te distantiŽren van de zaak. Niet veel later verscheen de code op Reddit, maar het kreeg daar nog niet veel aandacht. De bom barstte woensdag pas, toen de code op GitHub verscheen.

De broncode kan inzicht geven in bugs en kwetsbaarheden van iOS, maar de kans is aanwezig dat eventuele interessante ontdekkingen al achterhaald zijn doordat Apple zijn OS in de tussentijd verder heeft ontwikkeld. Apple stelt dan ook dat de veiligheid van zijn producten niet in gevaar is.

Door Mark Hendrikman

Nieuwsposter

10-02-2018 • 13:19

161 Linkedin Google+

Submitter: Cyber Shadow

Reacties (161)

Wijzig sortering
Hoe dan ook, alle oproepen c.q. verwerkingen van (delen van) de broncode worden uiteraard gelogd; wie, vanwaar, wanneer en waarom een stukje code raadpleegt.

Het is bekend dat Apple een besloten bedrijf is (zo niet absolute geheimhouding vereist) en er derhalve 'n soort interne 'politiedienst' werkzaam is dat lekkages of (mogelijke) overtredingen onderzoekt. Mijn vermoeden is daarom ook dat Apple inmiddels de dader in beeld heeft, zo niet 'n zeer beperkte selectie verdachten. De verantwoordelijke zal gebrandmerkt worden en vermoedelijk een nieuwe carriŤre mogen verzinnen.
Je mag er vanuit gaan dat hij geen toegang had tot die betreffende code als zijn stage-opdracht er niets mee van doen had. Bovendien heeft elke software-specialist op dat niveau bijbel-dikke NDA's. het schenden daarvan (ook al is het met 5 vrienden) kan je in potentie flink gaan kosten.
Dit grapje kan wel eens veel pijnlijker worden dan slechts wat imagoschade en wat lastige vragen bij zijn volgende sollicitatiegesprek. Terecht overigens want broncode stelen van je werkgever is seriously NO GO.

Dat het vervolgens op GIT verschijnt is ook geen 8ste wereldwonder, maar slechts een kwestie van tijd. het is wťl een wonder dat het nog een jaar geduurd lijkt te hebben. maar dat zal dan wel aan een zooi egotrippertjes hebben gelegen (zie ook die opmerkingen over screenshots van de code op fora, in het artikel)
Ik begrijp niet helemaal goed hoe het mogelijk is dat een Stagiair in het bezit kan komen van zeer gevoelige broncode in de eerste plaats?
Kan natuurlijk zo geweest zijn dat de stagiair onbedoeld toegang kreeg tot de broncode. Misschien verantwoordelijk voor herinstallatie van ontwikkelmachines, systeembeheerder of als servicedesk medewerkers. Daarnaast is er waarschijnlijk een vrij grote groep van ontwikkelaars, testers en zelfs geautomatiseerde systemen (build-, test- en deployment servers) die toegang hebben tot de broncode.

Overigens heeft Motherboard het zelf niet over een stagiaire, maar een werknemer in een low-level positie. The Verge heeft het wel over een stagiaire. Geen idee of zij meer informatie hebben of gewoon het artikel van Motherboard verkeerd begrepen hebben.
Ook Motherboard spreekt over een stagiair:
“He pulled everything, all sorts of Apple internal tools and whatnot,” a friend of the intern told me.
Een geheimhoudingsbeding in je contract kan ook na beŽindigen van de arbeidsovereenkomst geldig blijven.
In beginsel geldt het geheimhoudingsbeding voor de periode dat de arbeidsovereenkomst van kracht is en ook voor de periode daarna. De werkgever doet er echter verstandig aan dit uitdrukkelijk overeen te komen. Ook een redelijke uitleg van een geheimhoudingsbeding brengt meestal met zich mee dat het geheimhoudingsbeding bovendien geldt voor de periode na het einde van de arbeidsovereenkomst. Voorgaande is van belang omdat juist een ex-medewerker zich schuldig kan maken aan het schenden van de geheimhoudingsplicht. bron

Ik zou bij de volgende keer dat je een arbeidsovereenkomst niet van het standpunt "zodra ze stoppen met het uitbetalen van je loon. Ze niet meer geldig zijn." uit gaan, dat is namelijk niet zo, ook niet voor een eventueel concurrentiebeding, dat kan vervallen, of door een rechter ongeldig verklaart worden, maar dat hoeft lang niet altijd zo te zijn.
Excuses, ik dacht echt dat het allemaal maar weinig voorstelde, zelfs simpel uitzendkracht werk in een kas heeft een geheimhoudingsbeding. Het zit overal. En als het wel geld is half Nederland in overtreding :/


[...]


Nooit meer buiten werk over werk kunnen praten, dat kan toch geen stand houden?
Reken er maar op dat het stand houd. Geheimhouding kan gewoon worden afgedwongen voor een periode na beŽindiging contract. En rechters zijn tegenwoordig niet meer zo coulant tegenover werknemers die concurrentiebeding en geheimhoudingsverklaring bewust naast zich neerleggen. Straffen zijn niet mals.

Bovendien kan je best wel over werk praten, maar even een stuk code delen is een stap te ver. Je kan zeggen "ik heb een oplossing voor dit en dat geschreven en in grote lijnen komt het neer op", maar je kan geen exacte details geven. Houdt er rekening mee, dat wanneer een 3e partij een geheim stuk bedrijfsinformatie kam ontrafelen je al fout zit.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True