Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren

Google-onderzoekers hebben websites ontdekt die jarenlang door middel van iOS-kwetsbaarheden iPhones ongezien infecteerden met malware. Daarmee kregen aanvallers toegang tot onder andere locatiegegevens, wachtwoorden, Google-accounts en WhatsApp-gesprekken.

Googles Threat Analysis Group ontdekte eerder dit jaar een aantal gehackte websites waarmee iPhone-bezoekers werden aangevallen sinds september 2016. Het ging niet om gerichte aanvallen, alle websitebezoekers met een iOS-toestel waren doelwit. Google schat dat de betreffende websites duizenden bezoekers per week hadden. Google maakt niet bekend om welke sites of wat voor soort sites het ging.

De Google TAG-onderzoekers vonden vijf unieke iPhone-exploitketens, waarmee bij vrijwel alle versies van iOS 10 tot aan iOS 12 binnengedrongen kon worden. De aanvallers maakten daarvoor gebruik van verschillende kwetsbaarheden, waaronder zerodays waarvan het bestaan nog niet bekend was. Volgens Google wijzen de verschillende exploitketens erop dat er een groepering is die gedurende een periode van in ieder geval twee jaar pogingen heeft gedaan om iPhones af te luisteren.

onderzoekers vonden vijf exploitketens, voor verschillende iOS-versies

Slachtoffers werden besmet door enkel de websites te bezoeken. Op de achtergrond werd de malware ingeladen, zonder dat daar interactie van de gebruiker voor nodig was. Na een succesvolle besmetting kregen de aanvallers als root toegang tot alle databases van apps, wat het bijvoorbeeld mogelijk maakt om gesprekken in WhatsApp, iMessage en Telegram uit te lezen.

Door de directe toegang tot de opslag van toestellen zijn ook e-mails, contactenlijsten en foto's in te zien. Ook konden locatiegegevens realtime gevolgd worden en was het mogelijk om opgeslagen wachtwoorden te achterhalen. Dat maakt bijvoorbeeld wachtwoorden van wifinetwerken inzichtelijk en door toegang tot de keychain waren ook Google Single-Sign-On-services te onderscheppen. Daarmee konden aanvallers toegang krijgen tot Google-accounts.

De malware werd in een tijdelijke map geplaatst en verdween na een reboot van het toestel. Zolang een geïnfecteerde iPhone niet werd herstart, was deze toegankelijk voor de aanvallers. Voor slachtoffers was het niet zichtbaar dat kwaadwillenden toegang hadden tot hun toestel.

Google-onderzoekers hebben de malware, ofwel de implant, getest op een iPhone 8 met iOS 12 en een eigen command server opgezet, om te kijken wat er precies gebeurt als een toestel is geïnfecteerd. De malware maakt iedere minuut contact met de server en stuurt dan de gps-gegevens door. De malware bevat een lijst van third-party-apps waarvan de inhoud naar de server wordt doorgestuurd. Op die lijst staan e-mailapps zoals Yahoo, Outlook, Gmail, Mailmaster en QQ Mail. Ook WhatsApp, Skype, Facebook, Telegraph en Viber staan op die lijst. Aanvallers kunnen ook een lijst opvragen van andere apps die op het toestel zijn geïnstalleerd en op verzoek kan daar ook data uit opgevraagd worden.

De aanvallers gebruikten WebKit-kwetsbaarheden om via Safari binnen te dringen in de iPhones. Diezelfde kwetsbaarheden zouden volgens Google ook werken in de iOS-versie van Chrome, maar de aanvallers mikten via de websites alleen op Safari-gebruikers. Als de malware eenmaal geïnjecteerd was, werden combinaties van andere iOS-kwetsbaarheden gebruikt om meer privileges te verkrijgen.

In de vijf exploitketens werden veertien verschillende kwetsbaarheden gebruikt. Het ging om zeven kwetsbaarheden in de iPhone-browser, vijf kwetsbaarheden in de kernel en twee sandbox escapes. Volgens de Google-onderzoekers was op zijn minst één van de kwetsbaarheden nog niet bekend op het moment van ontdekking. Google heeft Apple hierover ingelicht op 1 februari en een deadline gegeven van een week voor het uitbrengen van een patch. Dat resulteerde in de komst van iOS 12.1.4 op 7 februari dit jaar.

Het is volgens Google niet duidelijk of de andere exploits bij de aanvallers zelf bekend waren, of dat ze die zijn gaan inzetten nadat ze gemeld werden. Er zit vaak een periode tussen de bekendmaking van een kwetsbaarheid en het uitkomen van een patch. In die periode zijn apparaten kwetsbaar. Datzelfde geldt voor apparaten die niet van updates zijn voorzien. De door Google beschreven aanval heeft jarenlang plaats kunnen vinden. Pas in februari dit jaar zijn de lekken gedicht. De zoekgigant merkt echter op dat het mogelijk is dat er meer van dit soort aanvallen in het wild bestaan, die gebruikmaken van kwetsbaarheden die nog niet bekend zijn.

Volgens de Google-onderzoekers is de onderliggende oorzaak van de kwetsbaarheden in de software niets nieuws. Het zou in veel gevallen gaan om kwetsbaarheden in code die nooit heeft gefunctioneerd en niet of weinig is getest voordat deze terechtkwam in een iOS-versie.

Wie er achter de aanvallen zit en wat het doel was van de aanvallers is niet duidelijk. De Google-onderzoekers merken op dat met de gebruikte methodes het mogelijk is om grote groepen gebruikers 'in bepaalde community's' te bespioneren.

Door Julian Huijbregts

Nieuwsredacteur

30-08-2019 • 10:34

302 Linkedin Google+

Submitter: duqu

Reacties (302)

Wijzig sortering
Door het relatief gesloten systeem dat Apple hanteert zou je verwachten dat juist dit soort kwetsbaarheden niet mogelijk zijn. Vooral "Slachtoffers werden besmet door enkel de websites te bezoeken, zonder dat daar interactie van de gebruiker voor nodig was".
Feitelijk heeft een Safari tabblad dus by default veel te veel permissies, ieder tab in sandbox en naar permissies vragen wanneer locatie / opslag van bestanden info door de betreffende website opgevraagd dient te worden zou dan al moeten helpen.
Een van de kwetsbaarheden is een sandbox escape, dus het voorbeeld dat je aanhaalt is geen oplossing.

Waar ik benieuwd naar ben (en wat overduidelijk niet in de blogpost staat van Project Zero) is op welke manieren de gebruikers naar het domein en de command and control server gestuurd werden. Zagen de eindgebruikers überhaupt 'bewust' de malafide site? Er wordt op de achtergrond van je besturingssysteem én browser (Safari in dit geval) ontzettend veel contact gemaakt met IP-adressen.

[Reactie gewijzigd door Tomino op 30 augustus 2019 11:21]

Ik denk het niet, want het gaat juist om een sandbox escape. We weten natuurlijk niet precies hoe dat voor elkaar gekregen word, maar het lijkt me echt niet een "Whoopsie, we hebben wat tabs te veel premissies gegeven".
Dat gesloten maakt het niet beter.
Misschien iets moeilijk om binnen te komen, maar eenmaal binnen is de schade groter.
En dat is nu wel gebleken. Deze zeer ernstige backdoor was jaren aanwezig en heeft massaal data gestolen.

Kortom een gesloten systeem is het paradijsl voor malware.
Er zijn nsa documenten uitgelekt waarin de nsa precies claimt wat deze malware kan - en ook dat ze alle iphones konden infecteren.

Zie deze talk op 30c3(chaos communication congress) van Jacob Applebaum: https://youtu.be/b0w36GAyZIA voor meer nsa onthullingen.

Het zal mij niks verbazen als de google onderzoekers op deze nsa malware zijn gestuit. Ik bedoel, 7 kwetsbaarheden in de browser, 5 in de kernel, en 2x uit een sandbox ontsnappen dat is onwijs high level werk. Voortbehouden aan state level actors zou ik zeggen.

[Reactie gewijzigd door SpiceWorm op 8 september 2019 19:06]

Oops.... Als gecertificeerde Apple-gebruiker is dit wel effe schrikken. Ik leef niet in de bubbel dat Apple heilig is, verre van, maar dit is wel een stevige scheur in het veiligheidsnet. Wat ik uit het artikel moeilijk kan opmaken, is hoe ik als gebruiker er eventueel last van gehad kan hebben. Ik zie bijvoorbeeld voorbeelden van locaties en Apple-ID meldingen, maar in hoeverre zou ik dan geraakt kunnen zijn? Die info kan ik er moeilijk uit halen. Ik ben een redelijk oplettende gebruiker, ben geen 'rare' meldingen van Gmail of Apple-ID tegengekomen, maar dat zegt vanzelfsprekend weinig.
Hoe je er last van kan hebben? :X
Ze hebben al je info, je wachtwoorden, je foto's, je mail verkeer en ga zo maar door.
Dat is echt een flinke inbreuk op je privacy en zet ook een flinke deur open voor chantage praktijken.

Meest schokkende is misschien nog wel dat het simpelweg bezoeken van een site al voldoende was.
Dus dat betekent dat Apple gebruikers nu hun wachtwoord moeten resetten?
[update] zie toevoeging van @mac1987, onderstaande is voor alle duidelijkheid onder voorbehoud.

Kan nooit kwaad om eens je wachtwoord te resetten, maar @jeroen3 heeft volgens mij geen gelijk met keychain.

De toegang voor root is voor alle *unencrypted* databases. Volgens mij is keychain een encrypted database. Daarom moet je ook voor elke keer dat je hem wilt gebruiken opnieuw je wachtwoord/vingerafdruk/FaceID intoetsen.

Voor zover ik heb kunnen lezen was er wel root-toegang, maar geen toegang tot hardware-functies. Door het security-model van de iPhone is het wel mogelijk om een stukje software op te starten, die veel meer toegang heeft tot allerhande APIs dan je zou willen, maar niet om de systeemsoftware aan te passen. Dus, ze konden dan wel een foto kopieren uit je album, maar niet je camera activeren voor een nieuwe foto.

Om diezelfde reden ook dat deze malware niet een reboot kon overleven.

Voor alle duidelijk: dit is een vrij groot lek, waar ik best wel van schrik, maar er zijn wel limieten aan waar ze bij konden.

@raro007
Volgens mij konden ze dus *niet* bij jouw Apple wachtwoord.
Maar wel bij credentials die unencrypted waren opgeslagen, zoals bij veel apps.
Apps, zoals bankapps, die een extra pincode gebruiken, zijn meestal wel encrypt. (En voor decryptie zonder daadwerkelijke toesteltoegang heb je meer nodig dan alleen die code, als het goed geimplementeerd is)

@mac1987
Dat zou echt heel heftig zijn! Als dat echt zo is, dan had Apple in Februari 100% een security advisory moeten uitgeven!

[Reactie gewijzigd door Keypunchie op 30 augustus 2019 17:35]

Motherboard geeft via The Verge een andere analyse:
Motherboard notes that the attack could have allowed the sites to install an implant with access to an iPhone’s keychain. This would have given the attackers access to any credentials or certificates contained within it, and could also allow them to access the databases of seemingly secure messaging apps like WhatsApp and iMessage. Despite these apps using end-to-end encryption for the transfer of messages, if an end device was compromised by this attack, then an attacker could access previously encrypted messages in plain text.
....
The implant installed by the malicious sites would be deleted if a user rebooted their phone. However, the researchers say that since the attack compromises a device’s keychain, then the attackers could gain access to any authentication tokens it contains, and these could be used to maintain access to accounts and services long after the implant has disappeared from a compromised device.
Dit staat inderdaad ook in de brontekst.
"The implant uploads the device's keychain, which contains a huge number of credentials and certificates used on and by the device. For example, the SSIDs and passwords for all saved wifi access points".
Ik weet niet de ins/outs van keychain, maar ik heb het vermoeden dat er onderscheid is tussen encrypted/niet-encrypted data.

Als ik inlog, kan mijn laptop automatisch met een wifinetwerk-verbinden, maar voor andere functies, moet ik expliciet toestemming verlenen. Ik nam aan dat dat decryptie was, maar mogelijk is het dan puur user-elevation? De laatste tijd was ik vaker en vaker keychain aan het gebruiken, vanwege het gemak, maar ik krijg de neiging om absoluut wat wachtwoorden te gaan veranderen.

[Reactie gewijzigd door Keypunchie op 30 augustus 2019 17:34]

Ik weet niet specifiek hoe het bij Apple iOS is geïmplementeerd, maar als je toegang hebt tot de keychain dan heb je toegang tot alles wat die keychain gebruikt voor authenticatie. Of dat nu wel of niet encrypted is maakt niet uit. De keychain geeft toegang.
Vergeet ook niet dat decrypted data (zoals sleutels) plaintext in het geheugen kan staan.
Apps op iOS, inclusief Safari, hebben volgens mij geen toegang tot keychain in de zin van hoe je dit in MacOS hebt als je een app permanent toestaat om een sleutelhanger te mogen gebruiken. Om de keychain te openen moet je altijd je gezicht scannen of code invoeren; Safari heeft er geen directe toegang toe. Sterker nog, zelfs vanuit instellingen moet je eerst authenticeren.

Als je de keychain echter opent in Safari op het moment dat je ge-exploit bent, dan ben ik bang dat die wel toegang heeft tot alle data in de wachtwoorden keychain. (Let op: dat is van bewaarde wachtwoorden voor sites, de keychain waar bijvoorbeeld je email-accounts instaan en wachtwoorden voor netwerken staan weer in andere (iCloud-)keychain(s).
En die goede implementatie zou ik zeker in twijfel trekken. De bug van het spammen van de knop om je opgeslagen wachtwoorden te zien is hier het beeldende voorbeeld van. In plaats van hardware die een sleutel vrijgeeft dmv controle van biometrische gegevens werd de sleutel gewoon vrijgegeven.
Ik weet niet waarom jij bijvoorbeeld denkt dat het "security-model" van de iPhone zo degelijk in elkaar zit. Het is niet alsof de code openbaar is ofzo...
Tja als ze bij jou ww konden dan Moet Apple naar al haar gebruikers een waarschuwing geven.
Alle wachtwoorden uit je sleutelhanger. Maar alleen stellen dat het nodig is als je Apple gebruiker bent is wat voorbarig volgens mij.
Dit is een ios lek toch dus lijkt mij niks voorbarig aan.
Natuurlijk is het verstandig om periodiek ww te veranderen maar wie doet dat?
"en was het mogelijk om opgeslagen wachtwoorden te achterhalen"

Zo te zien dus niet alleen het wachtwoord van het toestel maar elk wachtwoord dat je niet zelf in hoeft te typen. Denk aan je wifi, je gmail account, etc...
Dit is best wel een ernstige lek.
3 jaar lang kunnen ze gegevens stellen en vooral bedrijven/zaken mensen zullen getarget worden.
In het geval dat de hacks nog werken, heeft dat weinig zit. Ze kunnen je gewijzigde wachtwoord gewoon terug uitlezen.

Wanneer er binnenkort fixes uitgebracht zijn, kan je je iPhone volledig resetten, de nieuwste updates installeren. Of je moest een antivirus installeren die de malware ervan af kan halen. Zolang de malware in je iPhone zit of de mogelijkheid heeft zich terug te installeren ben je niet veilig.

Na het verwijderen van de malware is het wel aangewezen je wachtwoord te wijzigen. Tenslotte heeft niemand iets te maken wat wat er op jou iPhone of jou online accounts (mail, ...) staat.

Het artikel meldt ook:
Pas in februari dit jaar zijn de lekken gedicht.
Dus de lekken zijn gedicht en de fixes zijn al uitgebracht.

[Reactie gewijzigd door pbeer op 30 augustus 2019 13:01]

Gebruikt Donald Trump ook niet een iPhone? Dat het een aangepaste versie is wil natuurlijk niet zeggen dat hij niet kwetsbaar is. Ik ben dan ook benieuwd om welke websites dit gaat. Die hebben blijkbaar 3 jaar lang hun beveiliging niet op orde gehad. Dit gaat niet om een kleine website neem ik aan.
Trump weigerde toch een aangepaste foon?

https://www.nytimes.com/2...trump-phone-security.html

[Reactie gewijzigd door DigitalExorcist op 30 augustus 2019 12:57]

Volgens mij weigerde Trump juist om zijn prehistorische Sammy om te ruilen voor een dichtgetimmerd toestel van de SS.
Dat simpele site bezoeken vond ik ook het meest schokkende. Ik begrijp heel goed dat software nooit 100% veilig kan zijn, maar zo 'simpel', Yaiks! :X
Vooral info van 3rd party apps ... niet wat je bij Apple zelf onderbrengt als ik t zo lees.
niet wat je bij Apple zelf onderbrengt als ik t zo lees.
In het artikel zijn o.a. genoemd: contactenlijsten, foto's, iMessage.
Plus: Aanvallers kunnen ook een lijst opvragen van andere apps die op het toestel zijn geïnstalleerd en op verzoek kan daar ook data uit opgevraagd worden.
Dus ook van Apple apps.
Wat is een gecertificeerde Apple gebruiker als ik vragen mag?
Dan mag je een extra hoge coltrui aan.
Die coltrui is al jaren in de was...

@ro8in Tevreden gebruiker van het Apple-ecosysteem, nog vanaf deze iMac DV SE en sindsdien duizenden het evangelie verteld. O-)

Geen fanboy, praktische gebruiker

[Reactie gewijzigd door lakemens op 30 augustus 2019 12:12]

Het Apple evangelie.

Ik word er wel een beetje moe van dat mensen Tim Cook met God gaan vergelijken trouwens. Hij is wel goed bezig en zo hoor maar hij is nog lang geen Tim Cook.
In mijn geval was het toch echt ironisch bedoeld, Steve Jobs was echt een slimme kerel, maar uiteindelijk ook gewoon bezig met grof centjes verdienen. Dat mensen hem een aura op z'n kop zetten, prima, maar dat interesseert mij dan weer geen fluit.
Allicht. Maar toch is de insteek anders. Jobs was manisch wat betreft design en techniek en niet echt een marketing man. Cook is een filantroop pur sang (na z’n overlijden gaat er minstens een miljard naar goede doelen, Apple doneert sowieso mee aan alles wat z’n werknemers zelf doneren en verdubbelt vaak de donatie, investeren gigantisch in groene maatregelen voor hunzelf én subcontractors et cetera).

Ja Tim Cook is meer van de cijfers en veel minder van het design en techniek dan Jobs, maar ook op een andere manier.

Met Jonathan Ive z’n vertrek verliest Apple wél een ‘founding father’: dé designer en marketingman die ze hard nodig hebben.

[Reactie gewijzigd door DigitalExorcist op 30 augustus 2019 19:40]

Cook is een filantroop pur sang

Lol, al bijna net zo grappig :)
Aftrekposten aanzien voor filantropie, leuk!
https://www.macrumors.com...im-cook-charity-donation/

Vorige week nog $5 miljoen aan goede doelen, en als hij overlijdt (of daarvoor al) gaat zijn volledige fortuin a $800 miljoen naar goede doelen.

Toen Jobs nog leefde maar ernstig ziek was heeft Cook een deel van z’n lever aangeboden omdat ze dezelfde zeldzame bloedgroep delen. Jobs weigerde echter.

Hij was de eerste Fortune 500 CEO die openlijk uit de kast kwam. Hij vond z’n privacy belangrijk maar vond het ondergeschikt aan wat hij voor anderen zou kunnen betekenen door open over zijn geaardheid te zijn.

Als werknemers van Apple een donatie aan een goed doel doen, privé, verdubbelt Apple het bedrag.

Wat heb jij bijgedragen aan de maatschappij vandaag?

[Reactie gewijzigd door DigitalExorcist op 2 september 2019 20:00]

Hij heeft dus minder dan 2% van zijn vermogen aan een fiscaal aftrekbaar doet geschonken. Ja een echte filantroop ;)
Ik moest lachen. +2 grappig. :)
That made my Friday ;)
Ik zou niet schrikken, maar laten we eerlijk zijn elke keer moeten andere partijen steeds weer elke maand duiden op lekken en security issues voor ios, macos etc. Apple is geen beveiligingsbedrijf en maakt hardware en software en daarbij is google het erg gelegen dat dingen wel veilig zijn mede door cloud, gmail en andere zaken .

Het bedrijf dat security en privacy biedt die we allemaal niet willen gebruiken dat was BlackBerry en zelf na 5 jaar is BlackBerry Android nooit geroot en het is blijft het meest veilig toestel qua gebruik en als het gaat om malware, bescherming van je data etc. . Samsung knox icm BlackBerry EUM is ook enorm veilig in gebruik. Als je daarnaast BBM enterprise dan weet je dat je gespreken ,berichten ook secured zijn en ze worden niet opgeslagen.

Apple car play is overigens door BlackBerry QNX mede ontworpen en die schijnt nog geen issues te hebben en wellicht dat Apple eens die kant op moet kijken om samen te werken nu ios steeds meer qua gesture/swipe op BlackBerry OS10 begint te lijken llijkt me dit zeker een win win voor beiden. Wie weet een HUB in ios en BBOS10 wordt nog steeds ondersteund door BlackBerry, maar ik zou een combo met dezelfde bediening wel zien zitten.

[Reactie gewijzigd door Noresponse op 30 augustus 2019 12:15]

Apple is geen beveiligingsbedrijf? Natuurlijk wel, ze leveren miljoenen apparaten waar het hebben en houden van de gebruikers opstaat. Dan is veiligheid enorm belangrijk.
Eens, maar het is geen foxIT of kaspersky die er dagelijks mee bezig zijn. De core business ligt ergens anders. Uiteraard staat veiligheid hoog in het vaandel, maar het team dat daar achteraan gaat zal gewoon kleiner zijn dan dat van een google of kaspersky.
Aangezien geen firewall/ virus scanner etc geïnstalleerd mogen worden, want dat doen ze zelf, zou moeten stellen dat ze juist wel een foxIT of kaspersky (willen) zijn...
Firewall en virusscanner vanuit een app heeft ook geen zin. Een app kan (in theorie) niet bij gegevens van een andere app en kan dus ook nooit iets scannen van een andere app.

Een dergelijke sandbox heeft android in principe ook. Ook daar is het zonder root vrij nutteloos. Met root kunnen er wel dingen worden gedaan, maar dan is ineens je virusscan app weer een security liability, want dat ding heeft root rechten.
Apple maakt ook iOS dat lijkt me geen app... Waarom je apps erbij haalt is me echt een raadsel...
Dat een firewall/virusscanner als app dus geen zin heeft, en het als OS geïntegreerde functionaliteit (zoals dat bij android kan onder root) alleen maar een extra aanvalsvector oplevert.
Ik snap je punt wel (valt nog heel veel aan af te halen) maar het ging om:
[quote]Eens, maar het is geen foxIT of kaspersky die er dagelijks mee bezig zijn [/qoute]
Mijn punt is dat ze dat juist wel moeten zijn om de veiligheid hoog te houden. Geen andere instantie kan dat. Dat heeft niet mee te maken of andere het zouden kunnen of niet. Het is er gewoon niet. Dus die kennis zouden ze moeten hebben (of uit besteden) of het is een veel minder veilig platform dan je zou willen.
maar die kennis hebben ze uiteraard ook wel, alleen is het dus niet hun core-bussiness. Ze hebben er uiteraard gewoon minder resources voor dan een bedrijf als foxit. iets met nuances aanbrengen ipv zwart-wit stellingen roepen ;)
Tja je kan inderdaad zeggen dat het niet hun core business is. maar voor mij is dat ook niet nodig om iets te zijn. (google is ook een energie bedrijf, microsoft is volgens de wet ook een telecom bedrijf maar dat is niet hun core business, wat niet wil zeggen dat ze dat niet zijn)

Veiligheid is wel hun USP. Natuurlijk kunnen ze niet alles voor zijn. Dat kan niemand. Maar als er gaten vallen zijn ze zeker wel zelf verantwoordelijk.
Vandaar de vele lekken in apps die datagraaien natuurlijk.
Beetje lachertje, zeker na dit artikel!
Daar heb je toch echt zelf toestemming gegeven om gebruik te kunnen maken van API’s van het OS. Waar we het hier over hebben is data in een andere app. Daar kom je niet zomaar bij.
Nogal sensatie artikel. Er is in nederland geen enkele bank die ook maar iets onversleuteld verstuurd. Overigens gaat dit nog steeds niet over het OS an sich maar over dom gemaakte apps die snel moeten cashen (spelletjes enzo). Dat betekent nog niet dat je zomaar bij de lokaal opgeslagen data van een app kan.

Ik heb het niet over netwerkverkeer. Als je dat nog over http zonder ssl doet ven je gewoon verkeerd bezig als het gaat om persoonsgegevens.
Ik heb het dan ook over de apps.. lees hierboven!
Dude. Dat gaat over netwerk verkeer met HTTPS. https://forums.developer.apple.com/thread/6767

Totaal niet relevant dus. Ik heb het over data die in de app op jouw apparaat staat opgeslagen. Daar kan je niet bij vanuit een andere app. Daarom heb je dus een share api waarbij je via app 1 aangeeft een bestand te willen openen in app 2.
"Dude",geen enkele gewone gebruiker van een app onder ios zal dat worst wezen.
De apps lekken data zoals ook deze:
https://thenextweb.com/ap...fo-to-tracking-companies/
Of erger:
https://www.forbes.com/si...phone-hack-is-terrifying/
Je hebt door dat het forbes artikel waar je mee aankomt exact het punt is van het artikel hierboven?

Dat van die trackingmeuk is erg vervelend maar niet iets waar Apple wat aan kan doen. Het zijn bedrijven als Microsoft, yelp en Spotify die dit willens en wetens in hun app inbouwen voor advertentie doeleinden. Apple maakt het voor adverteerders express lastig om tracking te doen door device ID’s te rouleren. Dan nog kan Apple hier niks aan doen want deze apps maken gebruik van APi’s in het OS die gewoon bruikbaar moeten zijn. Zitten gewoon legit redenen achter. Overigens ben je in 9/10 gevallen zelf akkoord gegaan met deze praktijken.

Dit is “misbruik” maken van legale mogelijkheden en niet hacken van je apparaat ofzo.

Daarnaast kunnen die background processen nog steeds niet bij de data van de apps. Het enige probleem is dat er nu dus exploits bekend zijn geworden waarmee dat kennelijk wel kan, maar die zijn dus gepatched.
zucht..
All iOS versions below iOS 12.4 are severely vulnerable.
As of August 1, only 9.6% of enterprise devices have been updated.
Google’s Project Zero has uncovered six bugs in iOS that can be remotely exploited without any user interaction via the iMessage client. Apple has fully patched five of the six flaws with the 12.4 iOS update.

The scariest of these bugs (CVE-2019-8624 and CVE-2019-8646) allow an attacker to read files off an iOS device remotely, without any interaction from the victim. The exploit initiates a dump of the victim’s iMessage database and compromises the iOS sandbox putting files on the device at risk.

This vulnerability calls into question the integrity of iOS sandboxing which is one of the most significant fundamentals of the entire iOS security model. There is a general mentality that iOS devices are secure so security software is not required, but the reality is, the sandbox that is built into iOS can be defeated.

[Reactie gewijzigd door SED op 4 september 2019 12:26]

AWS, Azure en Google, daar draait /draaide het op.
Beginning in 2011, iCloud is based on Amazon Web Services and Microsoft Azure (Apple iOS Security white paper published in 2014, Apple acknowledged that encrypted iOS files are stored in Amazon S3 and Microsoft Azure). In 2016, Apple signed a deal with Google to use Google Cloud Platform for some iCloud services.

[Reactie gewijzigd door sypie op 30 augustus 2019 18:19]

jij bent dus compleet verkeerd geïnformeerd.
Apple is nog steeds zelf verantwoordelijk voor de beveiliging hoor. Het kubernetes platform van azure AWS of Google regelt da niet ineens voor je.
Het "vervelende" aan deze hack is, is dat je niks door hebt als gebruiker. Je hoeft alleen maar een bepaalde website te bezoeken, en je bent gehackt. (Dat is wat ik uit de tekst haal).
Er zijn geen meldingen, geen pop-ups of iets dergelijks, alleen de website bezoeken is al genoeg om besmet te raken. Hierna kunnen de hackers overal bij en alles opvragen..
Als jij die website had bezocht hadden de hackers full access tot je telefoon, ik neem ergens aan dat het programma automatisch ook door je data heengaat en er uit haalt wat het wil. Door deze exploits had je het als end-user waarschijnlijk niet eens doorgehad.
Da's wel fr***in' creepy :X
Heb je een certificaat nodig om Apple te kunnen gebruiken?
Dat niet, maar het helpt wel O-)
"Gecertificeerde Apple-gebruiker", wa's dah?
De ietwat ironische benadering van gebruiker, ex-Product Specialist, ex-winkelbaas in onder meer Apple (en Windows!), die wil voorkomen 'fanboy' genoemd te worden

Hoorde in de jaren van Windows XP al dat Apple een kansloze zaak was en dat ik beter de strijd kon opgeven tegen de dominantie van Microsoft. Nu ben ik eigenwijs, luister ik graag naar mensen en trek daarop mijn eigen conclusies en bleek ik (nog altijd)n gelukkiger te worden zijn van het gebruiksgemak van de Mac ten opzichte van Windows. Ik ben wat dat betreft geen tweaker, maar een (best wel luie) gebruiker.

En als iemand me in enkele minuten kan overtuigen te switchen naar een beter en nóg makkelijker ecosysteem van Macbook, iPhones, iPad, en Apple TV, ik overweeg het. Maar het vereist nog altijd meer werk, is mijn indruk.
Aaahh, op zo'n fiets. Dan ben ik ook al bijna 30 jaar gecertificeerd. En heb er nog geen zicht op dat het overgaat.
Er staat vermeld hoe je er last van kan hebben gehad: alleen al door een website te bezoeken die je kon laten besmetten was er bijna volledige controle te krijgen en veel van de meest persoonlijke gegevens te lekken zonder dat je dat als gebruiker door hebt. Dus ook de gegevens van anderen die op de iPhone staan.
Ook is duidelijk dat dit vele jaren lang kon en op verschillende manieren.

Wat er niet staat is wat de kans is dat je besmet bent en ook niet goed omschreven is hoe je er achter kan komen. Dan kan je er maar beter vanuit gaan dat dat het geval is en bedenken wat de gevolgen daarvan zijn.

Ik hoop vooral dat gebruikers zich bewuster worden dat dit soort lekken dus jaren lang kunnen bestaan en al genoeg zijn om bijna alle gevoelige gegevens van jezelf, je familie of je klanten te bemachtigen als die allemaal op je telefoon staan omdat je je veilig wilde wanen. Mobiele apparaten worden volgestopt met de meest gevoelige gegevens van de gebruiker en van anderen in de hoop of waan dat een ander wel zorgt dat je veilig bent.
Die info klopt ook nooit, ik krijg heel vaak dat ik in Zwolle zit terwijl dat helemaal niet het geval is. Nu is Ziggo mijn internetprovider en het kan best dat er iets via Zwolle loopt. Maar met dat soort valse meldingen wordt het niet beter.
'gecertificeerde Apple-gebruiker'?
Dat dit soort complexe malware op een website te vinden is geeft maar weer aan dat de software van Apple ook niet heilig is. (net als alle andere software)
Ik vind het meer kwalijk dat google niet aangeeft om welke websites het ging zodat je kan achterhalen of je slachtoffer bent geworden.
Dit voedt het idee dat dit geen gewone cybercriminelen zijn, maar eerder een geheime dienst.

Waarom zouden ze anders niet al jaren mensen afpersen etc of die info op grote schaal te gelde maken?
wie weet verdienen ze met inside information veel meer dan eenmalig met een poging tot afpersen.
Dat kan natuurlijk, ook als niet-geheime dienst. Alleen blijft dan de grote vraag waarom google niet gewoon bekendmaakt welke sites betrokken waren en dergelijke.
Wellicht staan er ook een paar van Google zelf op ;-)
Ach, er ligt zoveel macht bij een zo klein groepje bedrijven en overheden, dat die best onderling het een en ander voor het gepeupel geheim kunnen en zullen houden.
Dat weet je nooit. Het kan, maar dit soort praktijken zijn niet nieuw en er wordt continue op grote schaal gefraudeerd met bv credit cards. Identiteitsdiefstal is ook aan de orde van de dag.

Ik heb gisteren nog mijn cc door kunnen knippen omdat er blijkbaar weer een bende met eea bezig is. Ik was niet de eerste die belde over vreemde transacties. Gelukkig reageert men snel en wordt alles geblokkeerd, maar je vraagt je af hoe men aan de cc gegevens komt (incl.cvc). Best lastig, en ik denk niet dat ze Paypal gehackt hebben.
Paypal zal zijn best doen maar is deels net als Apple ook maar weer gewoon afhankelijk van hoe het netwerk en protocol toevallig ooit is opgezet, heeft ook software die opgebouwd is uit duizenden kant en klare libraries waar bugs in zitten en heeft dus ook nooit 100% controle.
Het is maar hoe je het ziet. Paypal is niet verantwoordelijk voor het platform waar de app draait. En ze kunnen daar ook niets aan doen. Maar gegevens stelen uit hun eigen infra is praktisch onmogelijk omdat die data niet exposed mag zijn naar het internet. En dan nog moet het fatsoenlijk encrypted opgeslagen zijn.
Overigens denk ik ook wel dat je best een app kunt maken die iets van een vpn tunnel opzet en zo eventuele snoopers op het OS omzeilt. Maar daar heb ik te weinig kennis voor.
Sinds wanneer is google verantwoordelijk voor de beveiliging van apple? Dat mag apple zelf doen. Ze mogen blij zijn dat google ze hier op gewezen heeft. Wat eerder kwalijk is, is het dat apple zelf niet door had dat hun systeem gehackt was!
Sorry, maar dat is volgens GDPR toch echt de verantwoordelijkheid van Apple. Google heeft hier geen verantwoordelijkheid in.

Wat eerder een probleem is dat er dus veel mensen jaren hun informatie gestolen hebben gehad en dat Apple hier geen bericht in Februari over naar buiten heeft gedaan.

[Reactie gewijzigd door brammetje1994 op 30 augustus 2019 15:21]

Omdat in Windows jaren lang veer meer simpele fouten zaten, was het niet interessant om de fouten in Apple te zoeken. Omdat de Apple fans hun OS als heilig beschouwen, zijn ze ook minder alert.
Nog steeds heerst er de cultuur, als alles origineel is kan me niets overkomen.
Ik hoor ook nog regelmatig van mensen dat ze geen last van virussen/malware kunnen hebben omdat ze een Mac hebben. Prachtig (en vaak ook lastig) om hen uit te leggen dat het een complete fabel is.

Ik weet niet waar die fabel ooit vandaan is gekomen, maar feit blijft dat zowel onwetendheid als goedgelovigheid hierin een ontzettend grote rol in (blijven) spelen.
Voor wat betreft virussen, die zijn nooit in het wild aangetoond voor de Mac. Malware is een ander verhaal, daar loop je natuurlijk risico op in elk "open" OS waar het mogelijk is andere software te installeren.
En mijn ervaring is dat het niet zo'n grote fabel is als jij beweert, want ondanks dat ik Windows PC's heb gezien die bijna omvielen van de malware en trojans, heb ik nooit een positieve scan gehad op mijn MacOS en Linux bakken. Dus ik durf die bewering ook wel te maken dat ik er geen last van heb. Daarom vind ik en veel anderen dit nieuwsbericht ook zo buitengewoon opvallend. Het toont natuurlijk aan dat dit niet onmogelijk is, maar de ervaring tot nu toe is dat het risico bijzonder klein is.
Er is qua techniek niets inherent veiliger aan een Mac of Linux maar door het relatief lage marktaandeel loon(t)(de) het gewoon niet om deze doelgroep te targetten, net als Linux users.

Linux/Mac/Windows het maakt echt niet uit vanuit een conceptueel standpunt.

Vanuit een praktisch standpunt echter wel en als mede mac-gebruiker profiteer ik daar ook van. Maar hopen dat MacOS altijd een beetje nice blijft, zodat het geen interessant doelwit wordt :D
Precies!

Iphones bijvoorbeeld vormen maar 10% van de smartphones: https://www.statista.com/...s-since-4th-quarter-2009/

90% draait op android. Je malware heeft 9x meer succes als je voor android schrijft.
Ik heb nooit een positieve scan gehad op mijn Windows bakken. En nu?

Hoe dan ook hangt het ook nog eens af van wat je een virus noemt en wat je malware noemt. In de praktijk verschilt het resultaat onder de streep nauwelijks.
Oh gaan we nu de definitie aanpassen om je gelijk te halen. Er is een vrij duidelijke scheiding tussen die twee. En er bestaan geen virussen voor de Mac en vzv ik weet ook niet voor Linux. En er zijn er heel veel voor Windows dus daar zal vast iets aan de hand zijn. En marktaandeel als argument is ook al lang geleden de debunkt.
Neemt niet weg dat je op alle platforms maatregelen moet nemen tegen kwaadaardige software.
Het lek hier was onbekend en gaat via de browser. Een virusscanner helpt daar niet tegen.

Natuurlijk is Mac OS X noch Linux heilig en zijn er ongetwijfeld vele fouten in te vinden. Wat mensen wel vaak roepen is dat ze op Mac of Linux geen virusscanner nodig hebben, en daar zit zeker een kern van waarheid in. De exploits die gevonden worden zijn zelden detecteerbaar via een virusscanner. Je moet zeker niet zomaar alles openen, maar een virusscanner biedt je niet veel meerwaarde op deze platforms.

Met het hedendaagse Windows is het overigens ook die kant op aan het gaan. De basisbeveiliging zit daar inmiddels wel zo goed in elkaar dat traditionele virussen / trojans niet veel kans maken als je enige zorgvuldigheid toepast in je computergebruik. Betekent niet dat je veilig bent, maar wel dat een virusscanner niet veel veiligheid toevoegt
Als de bounty hoog genoeg is dan zullen er ongetwijfeld white hat hackers op zoek zijn naar fouten. Dat zal bij Apple vast niet anders zijn. En dit soort fouten leveren meestal ook de hoogste beloning op. Zonder gebruikersinteractie toegang krijgen tot het hele systeem is de grootste fout die een besturingssysteem kan maken.
iPhones zijn gewoon een doelwit an sich omdat er, generaliserend van uit gegaan kan worden dat:

- Mensen hun bankzaken niet meer op hun Windows PC doen maar op de telefoon of iPad
- Mensen met een iDevice vaak wat kapitaal krachtiger zijn (of zich zo voordoen) waardoor er meer te halen is
- Managers binnen overheid en bedrijfsleven vaak iBlind zijn dus een goede aanvalsvector zijn voor bedrijfsspionage en chantage.

Windows is in de moderne tijd een slechte aanvalsvector anders dan misbruik voor botnet of mining slaafje. Telefoons en tablets daar in tegen hebben een vele male hogere penetratie graad in de markt en mensen gaan er veel argelozer mee om.

Iedereen heeft een virus-/malware-scanner op pc en laptop en windows tablet. NAGENOEG NIEMAND voor hun tablet of telefoon.

En zolang het woord zero-day bestaat is ieder device onveilig. Het zal mij dan ook niets verbazen wanneer er meer van dit soort sites zijn, maar ook voor Android.

Edit: al die autocorrect zooi verbeteren.

[Reactie gewijzigd door Wim-Bart op 30 augustus 2019 19:58]

Dit is geen simpel werk. Hier zit veel kennis en geld achter. Ik ben geen alu-hoedje type maar het lijkt me waarschijnlijk dat dit gebouwd/gebruikt is door overheden die hun vijanden en/of burgers in de gaten willen houden.
Natuurlijk. Daarbij kan je ook de vraag stellen hoeverre Apple hierzelf van op de hoogte was/is.
Daarnaast kan het overigens zeker wel doelgericht zijn, maar dan op groepen, alleen niet op specifieke gebruikers.
Als iemand een politiek of religieus gerichte website maakt waar specifieke (problematische) politieke of religieuze onderwerpen worden besproken.

Gelukkig staat er op de telefoons die het betreffende OS draaien geen "Huawei" Want dan was het merk al zover afgebrand en afgemaakt (in de massamedia) dat het amper nog kans had van overleven in westerse landen.
Gezien het feit dat Apple binnen een week een fix klaar had waren ze neem ik aan niet op de hoogte. Toen ze dat eenmaal wel waren hebben ze snel gereageerd.

Daarnaast is het merk Apple zo sterk dat er in dit geval van afbranden weinig sprake zal zijn (ben ik bang).
Dat is zou marketing technisch natuurlijk brilliant zijn. Wel meewerken met backdoors, en als ze gevonden worden flitsend snel een 'fix' doen. Als de burger geen lucht krijgt van het meewerken is het win-win... Overheid blij, gebruikers blij(, Apple blij)

Je zou zelfs kunnen zeggen dat een fix die dermate snel gemaakt en getest is verdacht is, maar nu treed ik in het alu-hoedjes territorium. ;)

[Reactie gewijzigd door MN-Power op 30 augustus 2019 11:42]

Dat is niet briljant dat is eerder logisch :) - of dat nu gaat om een bedrijf uit de VS (Cisco, Apple of whatever) of een bedrijf uit China (Huawei.)

Naief blindelings vertrouwen ergens in hebben of enorm argwanend zijn...een middenweg is voor de meesten heel lastig.
Op 8 augustus hebben ze hun bug bounty opgehoogd naar 1 miljoen.
Als het een door de overheid opgelegde backdoor is... is ie er nu uit.
En met de volgende update of al eerder... zit er een nieuwe backdoor in.
Nee dat is niet bijster verdacht. Immers heeft Google precies aan kunnen geven waar het probleem zat en hoe de exploit werkt. Voor een team engineers en devs is het dan niet zo moeilijk om als de sodemieter een patch te bouwen.
Aangezien dit al twee jaar open lag kan je wel degelijk stellen dat ze dit niet wisten.

Anders komt er straks een leuke aandeelhoudersvergadering.
Ik ben het met je eens dat het een overheidsinstantie kan zijn die deze zero days heeft gebruikt. Het zou mijn ook niet verbazen dat een ander buitenlands overheidsinstantie dit kort geleden ook heeft ontdekt.

De onderzoekers bij Google krijgen dan een tip van bijvoorbeeld NSA over een lek. Deze wordt dan snel gedicht, zodat andere (buitenlandse) entiteiten het niet kunnen misbruiken.

Zolang jij de enige bent met kennis over deze zwakheden, is het een voordeel en laat je het open. Zodra concurrerende instanties deze zwakheden ook hebben, dan kan het beter gedicht worden.
Die dan wel precies een iphone moeten hebben. Als jij gelijk hebt, is er ook een variant die op Android loopt. Die zal dan wel zero days in Chromium gebruiken ofzo (is trouwens een fork van Webkit).

Sowieso is dit een voorbeeld van hoe slecht het is om een browsermonocultuur te hebben.
Moddergooiende OS-makers... Maar allebei hebben ze een consumentensysteem dat ze alleen maar zelf willen kunnen inzien, waar dit volledig het gevolg van is.
Google-onderzoekers hebben de malware, ofwel de implant, getest op een iPhone 8 met iOS 12 en een eigen command server opgezet, om te kijken wat er precies gebeurt als een toestel is geïnfecteerd
Je hebt nogal een constructie nodig om te zien wat de software op je computer uithaalt.
Stel je voor dat je als gebruiker met een out-of-the-box toestel zomaar kan zien dat er iets draait wat een verbinding met een onbekende server maakt of probeert te maken. En dat dan ook kunnen uitschakelen zou het helemaal een waardeloos OS maken.

[Reactie gewijzigd door blorf op 30 augustus 2019 11:04]

Stel je voor dat je als gebruiker met een out-of-the-box toestel zomaar kan zien dat er iets draait wat een verbinding met een onbekende server maakt of probeert te maken. En dat dan ook kunnen uitschakelen zou het helemaal een waardeloos OS maken.

Is dit cynisme of volg ik je niet helemaal?
Redelijk. Het grootste beveiligingsrisico aller tijden op smartphones wordt door de OS-makers moedwillig en stelselmatig genegeerd. De halve wereld neemt nieuwe als dit bloedserieus maar lijkt niet door te hebben wat het betekent als je geen root/admin account hebt van je eigen computer...

[Reactie gewijzigd door blorf op 30 augustus 2019 11:41]

Ik volg je niet helemaal - kan je je zelf wat verduidelijken, wat is het probleem van consumenten zonder root? Denk dat telefoons een stuk minder malware bevatten dan de gemiddelde windows xp machine.
Haha, consumenten? Volgens mij volg je me heel goed...
Heeft veel weg van NSA-achtige praktijken inderdaad.

Wel extra zuur dat het iPhones betreft en dan ook nog ondekt door Google. Meeste mensen met een iPhone wanen zich toch veilig of veiliger dan bijv Android.

Ook zie je dat Whatsapp encryptie in dit geval geen zin heeft wanneer het endpoint gehackt wordt en de berichten al gedecrypt zijn, dus ook dat geeft (onwetende) gebruikers een vals gevoel van veiligheid.
Alles blijft een vals gevoel van veiligheid.
PGP Telefoons werden ook gekraakt. En alle techbedrijven blijken mee te luisteren.

https://eenvandaag.avrotr...door-gekraakte-telefoons/
Die waren niet echt gekraakt toch? Maar fysiek overgenomen door justitie die het PGP-verkeer lekker door lieten gaan en ondertussen doordat ze het beheerden, mee konden kijken met de criminele gesprekken.
https://www.politie.nl/ni...n-cryptocommunicatie.html

Andere zaak van vorig jaar, is dit gekraakt? Volgens mij is het systeem zo sterk als de zwakste schakel.

[Reactie gewijzigd door Maxxi op 30 augustus 2019 11:54]

Ja ik ken de zaak, maar het ging volgens mij meer om een Canadese server-overname dan om echt "kraken", dat impliceert namelijk lekken in PGP. Terwijl als iemand fysiek de live-server kaapt, is er vaak een stuk meer mogelijk (https://www.nrc.nl/nieuws...-uit-pgp-servers-a3652235)
Zijn twee verschillende zaken, technisch ook heel anders. Maar of PGP of OTR gekraakt is is onduidelijk idd.
Je kan je beter de vraag stellen, dit hebben ze ontdekt maar hoeveel niet bekende exploits zijn er nog voor android en ios.
Ontelbaar, met elke release en bugfix wordt er een gepatched en komt er elders wel weer een bij; en dan zijn er ook nog hardware aanvallen mogelijk.

De truc is om ze op briljante wijze aan elkaar te chainen. Meerdere exploits die het uiteindelijk doel kunnen bereiken. Maar dan moet je wel flink wat tijd en/of poen hebben.
Laat er nu wereldwijd toch aardig wat landen, organisaties zijn die poen hebben. Grote kan dat exploits actief gebruikt worden door deze landen/organisaties.
Ja en dat is ook een van de redenen waarom ik me kapot erger aan Google dat ze die websites niet publiek gemaakt hebben. Want wat zat erachter? Een heel team dat een peperdure manier om iPhone's te exploiten bouwt (je kan dat gewoon zien als wapen en het kost flink wat R&D om die te bouwen) laat dat gewoon in het wild rondzwerven...? Met grote kansen dat het gepakt wordt?

Ik bedoel, een zijstapje voor ik verder ga, kijk naar Stuxnet. Heeft naar alle waarschijnlijkheid miljoenen gekost. Maar kon zichzelf heel goed heel stil houden. Zelfs toen het per ongeluk ontsnapte het wereldwijde web op is het nog een tijdlang onopgemerkt gebleven. Dat is slim, want dan is er geen detectie, weet niemand precies wat het doet en met een beetje mazzel wordt 't nooit opgemerkt.

... En dan zet deze groep het zomaar publiek op een of andere page? Dat lijkt me raar.
Dus ik ben heel benieuwd wat die URL's nou waren en wat voor specifieke sites het waren die dus bezocht moesten worden om aangevallen te worden. Het lijkt me niet dat zo'n groep hun kruit verschiet en dit "puur voor de lol" (ik sluit niets uit, maar... :)) doet, maar dat je heel specifiek je targets uitkiest; minste kans om snel op te vallen. Gezien het blijkbaar jaren heeft geduurd voor dit werd opgemerkt hebben ze zich goed stilgehouden; en dat doe je niet door op mega grote sites te infecteren. Dat doe je kleinschalig op hele specifieke plekken... Ik wil weten welke. :P
Hoezo is dat zuur? iphones zijn echt niet beter dan Android phones hoor
Zeg ik ook niet maar bij Android verwacht je het meer, bij iphone waan je je toch veiliger dus zo'n groot misbruik als dit komt dan extra hard binnen.

Bij Android was men minder verrast geweest.
Jij kon het niet beter verwoorden tot nu op dit topic.
Ik dacht meteen aan dit:

https://www.google.com/ur...Vaw17fxxtsgQRTM_lgLZRRnHg
Gezien er gesproken wordt over 'duizenden bezoekers per week' lijken dit eerder gerichte aanvallen op specifieke groepen en niet enkel om 'burgers in de gaten te houden'. Hierom is het juist interessant om te weten op welke sites deze exploitkits zijn gevonden. Helaas is dat niet bekend openbaar gemaakt..

De ontwikkeling van exploitkits wordt nauwelijks gedaan door overheden. Er zijn commerciële partijen waarbij dit wordt ingekocht of waar opdrachten bij worden uitgezet. Die zullen hun diensten aan iedereen verkopen die het kan betalen, dus mogelijk ook overheden.

[Reactie gewijzigd door The Zep Man op 30 augustus 2019 14:51]

Natuurlijk is wel bekend om welke sites het gaat.
Moet je zien hoe minutieus alles beschreven is wb. de exploits ed.
Dan gaat het er bij mij echt niet in dat ze over de bewuste websites in het ongewisse zijn gebleven.

Ergens is dat heel vreemd, want die zijn (dus) ook onveilig.
Daar hoeft dan niets aan te gebeuren?
Willen ze deze buiten schot houden? Zeg maar 'het deurtje' open laten?
Ik vind dat zeer vreemd...
Misschien compleet oftopic. Maar hoe vindt men zo'n zero day nu eigenlijk? Is dat gewoon eindeloos dingen proberen of is dat op basis van enige voorkennis te doen?
Het helpt (understatement) wanneer je de concepten snapt. Maar het is inderdaad vooral trial and error.
Beide tegelijk. :) Zonder voorkennis, wordt het wel heel erg een spelt in een hooiberg zoeken natuurlijk. Maar alsnog is het een heleboel trail and error.
beide, je moet wel heel veel kennis hebben en daarmee ga je dingen uittesten. Kan dus maanden-jaren duren.
Voorkennis heb je nodig in de zin dat je het systeem moet begrijpen. Onderzoekers kunnen bijvoorbeeld debuggers draaien om te kijken hoe de flow in een process werkt, en aan de hand van die flow er gaten in proberen te prikken of problemen tegen te komen. Of zoals met behoorlijk wat bugs in macOS kijken naar hoe processen met elkaar aan het babbelen zijn. Hier is dan heel interessant om te kijken wat 'root' processen accepteren ( en wellicht stuik kan maken? :D ).

Zon 'logic' flow zat bijv. fout in swift-nio: https://support.apple.com/en-us/HT210436

Ook zijn er tools zoals fuzzers, die bijv. door het chrome team gebruikt worden. Hiermee kan je heel veel willekeurige data in je programma stoppen om te kijken wat er stuk gaat. Vaak zijn de dingen die stuk gaan te exploiten.

Het vinden van bugs en dan ook nog een daadwerkelijke werkende exploit maken waar je iets 'nuttigs' mee kan is vaak nog wel een vak apart. Zo is het opzich (kzou niet zeggen kinderspel maar goed) niet moeilijk om een user-after-free bug te vinden maar dat omzetten in een exploit met moderne security mitigations (zoals sandboxing) is nog een tweede.
Maar hoe vindt men zo'n zero day nu eigenlijk?
Binairies zijn nullen en eentjes.
Kwestie van goed zoeken bij de nullen waar het lekt. ;)

[Reactie gewijzigd door Teijgetje op 30 augustus 2019 20:17]

Wordt lachen straks met de quantum
Rest de vraag: Moest Apple hier volgens de EU GDPR/AVG wetgeving geen melding van maken? Dit was niet zomaar een patch van een net ontdekt lekje, het werd duidelijk al jaren zeer ernstig misbruikt.
De andere vraag is hoe het mogelijk is dat het zo snel gepatched is.
Had Apple de patch al klaar liggen?
Het is niet per se moeilijk om een bug te fixen. Het zou zomaar kunnen dat dat beveiligingsprobleem in 1 regel code fout ging.

Wat in zo'n situatie dan nog wel moeilijk kan zijn, is vinden waar de bug zit en hoe het nou precies mis gaat. Maar het zou zomaar kunnen dat Google ze al flink wat werk daarvoor uit handen had genomen.

[Reactie gewijzigd door ACM op 30 augustus 2019 12:38]

Jij suggereert dat Apple met opzet die lekken heeft laten bestaan zodat bepaalde overheden er misbruik van konden maken totdat iemand de lekken heeft ontdekt.
Daar had ik nog niet aan gedacht.
Goed punt! Er zijn potentieel heel wat persoonsgegevens gelekt en dus was een melding m.i. zeker op z'n plaats geweest.
Ik vraag mij dit ook af. Als er sprake is van persoonsgegevens, dienen deze personen namelijk ook op de hoogte gesteld te worden van een databreuk en de details ervan: wat er gebeurd is, schatting van omvang en categorieen impact (aantal devices), omvang en categorieen data (hoeveelheid data), potentiate consequenties voor gebruikers en wat Apple, in dit geval, gaat ondernemen.
De vervolgvraag is dan of Apple daar zicht op heeft, m.a.w. kan Apple de getroffen gebruikers uberhaupt over informeren of had er een algemeen schrijven uit moeten gaan? Het feit dat Apple niks van zich heeft laten horen is op z'n minst wel merkwaardig.
Mischien is dat al gebeurt?
Lijkt mij sterk dat Apple hier niet van af wist.
Van mij mogen ze hier een vette boete voor krijgen die dan per land nuttig besteed kan worden aan 1 of andere goede doel stichting waarbij het bedrag nog hoger ligt als die van Facebook waarvan je weet dat die rommelen met jouw gegevens
Apple heeft die gegevens niet opgeslagen. Jij hebt ze opgeslagen op een systeem met AppleOS.
Als een Windows-server wordt gehackt, hoeft Microsoft daar geen AVG-melding van te maken.

Enige doel van een boete zou zijn als Apple extreem nalatig is geweest. Maar dat lijkt me nogal voorbarig. Ik schrik zelf wel even van het gemak dat deze hack lijkt te hebben gehad. Bezoeken van een website is nogal makkelijk gebeurd, bijvoorbeeld via geinfecteerde advertenties.

Overigens ligt de focus hier op Apple, maar het zou mij hogelijk verbazen als dit soort websites zich niet ook op andere populaire OS'en zouden richten... denk aan een bug als Stagefright.
Volgens de GDPR ben je verplicht om in het geval van een "databreach" dit door te geven aan zowel de authoriteiten middels een melding als de getroffen groep. Apple lijkt geen van de twee te hebben gedaan. Zelfs als je niet kan achterhalen welke gebruikers het betrof, dien je de potentiële gebruikers op de hoogte te stellen. Althans dat is wat mij is geleerd.
Dat gaat om een situatie waarin jij gegevens van iemand anders verwerkt (bijvoorbeeld door ze op jouw server op te slaan) en een aanvaller daar toegang toe heeft gekregen. In deze situatie gaat het niet om gegevens die Apple heeft, ze staan gewoon op het toestel van de gebruiker.
De blogpost 'vergeet' te melden welke websites het betrof. Een overzicht daarvan zou kunnen helpen met een inschatting of ik getroffen ben of niet. Het zouden namelijk doelgroep specifieke websites kunnen zijn, bijv. Israelische, Iraanse of US-democratische of juist algemene nieuws sites. Welke maakt nogal wat uit..
Precies, dat hele gebeuren mis ik hier ook in de berichtgeving.
Ergens bijna flauw, want alles wordt minutieus uiteengezet, maar de daadwerkelijke bronnen van de besmetting worden erbuiten gehouden.
En dus ook of er op dat gebied ook acties zijn ondernomen....
Je weet niet altijd welke sites je hebt bezocht, via javascript worden soms tientallen sites ingeladen bij een onschuldig lijkende website. Alleen al deze pagina van tweakers.net bijvoorbeeld laadt javascript code in van acht (!) andere websites.
Mogelijk maar er zullen vast ook 'hoofd' sites bij gezeten hebben.

Ik vind het nogal verdacht dat het lijstje met websites niet kenbaar is gemaakt, naast alle andere details. Gezien het standaard lijstje met apps waar de informatie van werd doorgesluist, waaronder een aantal Chinese apps, en de frequente logging van de locatie, het zeer opvallende gebrek aan versleuteling over mobiele uplinks (die toch in handen van de overheid zijn en versleuteling dus niet uitmaakt), vermoed ik dat dit een spionage actie in opdracht van de Chinese overheid tegen de Oeigoerse (moslim) minderheid in dat land is.
De rede hiervoor is waarschijnlijk dat deze site's dan extra aandacht zouden krijgen en hackers de code dan kopiëren en implementeren in andere site's. Dit zou het risico veel groter maken.
De kwetsbaarheden zijn allang gepatched, dus wat is het probleem?
Niet iedereen installeert updates meteen + vergelijkbare manieren proberen te zoeken.
Het maakt helemaal niet uit hoe goed een os is beveiligd. Als je echt iets kwaads wilt doen vind je een weg. Dit geldt met alles. Maar de marketing van fabrikanten willen je doen geloven dat hun OS veilig is.
Van wat ik begrepen heb van een goede vriend van mij die Ethisch Hacker is. Is Apple niet direct veiliger of beter dan bijvoorbeeld Windows of Android.
Het enige feit waarom Windows of Android lekker lijkt is de userbase. Er zijn veel meer Windows (sinds MS-DOS) en Android gebruikers, dan dat er Apple gebruikers zijn. Dus schrijf je Malware/Trojans voor die systemen, heb je meer kans om je doel te behalen als hacker zijnde.
Dus Apple heeft ergens gelijk dat hun OS "veiliger" is, maar dat ligt meer aan de kwaadwillende hackers dan aan Apple zelf.
Het gaat mis op het moment dat een OS wordt ontworpen om piraterij of vrije uitwisseling van software tegen te gaan. Dat kan alleen maar door gebruikerscontrole weg te nemen, waardoor kwaadwillenden die eenmaal binnen zijn vrij spel hebben tot de OS-maker besluit te gaan kijken wat er aan de hand is.
Maar betreft een open OS zoals Linux, hoe veilig en dicht is dat? Ik lees vaak op meerdere tech websites dat je voor Linux geen virusscanner nodig hebt. Ze beweren dan dat het zo'n veilig OS is, waar Malware geen kans heeft.
Nu we steeds meer in het nieuws zien dat Malware zichzelf soms kan injecteren door middel van (grote) Advertentie Netwerken betwijfel ik de geloofwaardigheid van zulke artikelen op websites.
Ook al is een virusscanner niet geheel heilig, is geen virusscanner gebruiken ook niet wijs lijkt mij.
Aan de andere kant, is iets open source, dan kunnen wel meer mensen kijken naar hoe veilig het OS wel of niet is. Maar andersom, kan de hacker ook zoeken naar lekken in de code.
Voor een thuisgebruiker op Linux, is antimalware niet echt nodig. Maar dit komt gewoon omdat je geen doelwit bent, er zijn maar weinig partijen die de moeite nemen kwadelijke malware te bouwen voor die Linux gebruikers. Want het probleem, of voordeel in dit geval, is ook. Linux is enorm verdeeld. Er zijn tientallen populaire distro's en die hebben ook weer hun eigen smaakjes en versies in rondloop. Het is gewoon veel te veel werk om deftig malware te schrijven voor al die 3 Linux gebruikers (flauw, ik weet). Terwijl je met een stuk minder moeite voor Android, iOS of Windows direct miljoenen of zelfs miljarden gebruikers als potentieel doelwit hebt.

Het is zeker wel aan te raden om ook op Linux een virusscanner te installeren. Er worden regelmatig exploits gevonden en ze worden ook gewoon misbruikt. Alleen de hoeveelheid is minder en hierdoor het risico een stuk kleiner.

https://www.debian.org/security/
Ook op Linux worden genoeg lekken gevonden (en gefixed).
Over het algemeen zijn er meer mensen die goed willen doen dan slecht, om het even heel simpel te stellen. Dus ik neem aan dat er meer mensen zijn die zoeken naar fouten om ze te repareren dan om te misbruiken.
En de in overleg met NSA aangebrachte backdoors zijn moeilijker te vinden en verwijderen.
SHA-1 hash-ing protocol (designed and proposed by NSA - PROVEN to have BUILT-IN weaknesses, btw reason for all the "joy" of changing them all to SHA-2 few years ago)

Guess what, SHA-2 was also designed by NSA
Voor mobiele telefoons zou ik verwachten dat iOS toch net zo vaak het doelwit kan zijn dan Android omdat iPhones toch duurder zijn en je daarmee dus wel een wat rijkere groep mensen target. Iets wat bevestigd lijkt te worden doordat prijsverschillen tussen de de play store en de app store meestel in het nadeel is van de iPhone gebruikers.
Ik weet nog dat hele gedoe rondom de "Fappening", waren voornamelijk iPhones en iCloud geloof ik. Maar was het toen een lek in het OS of puur simpelweg brute forcen met wachtwoorden?
In ieder geval zijn er toen ook veel "gegevens" buitgemaakt.
Dat was social engineering icm bruteforce attacks en een server die niet na 5 pogingen dacht “hee dit is raar”.
Dat roept een interessante (filosofische maar ook juridische) vraag op: Als een OS sterk leunt op gebruik van de lcoud, is de cloud dan een deel van het OS?
Geen idee ik ken eigenlijk maar 1 OS dat dat doet en dat is chrome OS. Een iPhone is prima zonder iCloud te gebruiken.
het grote lek was toen voornamelijk de gebruiker. De meeste van de wachtwoorden waren toen gevonden via phishing en gebruikers die te zwakke wachtwoorden gebruikten of gewoon overal dezelfde username/password-combinatie.
Het enige feit waarom Windows of Android lekker lijkt is de userbase. Er zijn veel meer Windows (sinds MS-DOS) en Android gebruikers, dan dat er Apple gebruikers zijn. Dus schrijf je Malware/Trojans voor die systemen, heb je meer kans om je doel te behalen als hacker zijnde.
Dus Apple heeft ergens gelijk dat hun OS "veiliger" is, maar dat ligt meer aan de kwaadwillende hackers dan aan Apple zelf.
Volgens deze logica zou het binnen de kortste keren alsnog juist kansrijker zijn om malware te schrijven voor macOS. Immers, die Mac-gebruikers zijn niet of nauwelijks op hun hoede en ook al zijn er ‘maar’ 10% Mac-gebruikers, dat zijn altijd nog honderden miljoenen aardbewoners, dus echt wel de moeite.
En wie zegt ons niet dat dit al het geval is? Hoe veel van dit soort sites zijn er, niemand kan het vertellen, en we weten dan ook niet welke aanvalsvectoren deze sites hebben. Dus mischien ook OS/X? Linux? Windows? Android?
Het ging nu eigenlijk over malware en niet meer over de sites uit het artikel dus dat is een heel ander probleem, maar inderdaad.

Anderzijds heeft Google een heel goed beeld van wat er aan websites bestaat en zeker de veelbezochte. Dus je kan er wel van uit gaan dat ze alle sites van dit type wel gevonden hebben, nu ze eenmaal weten waar ze op moeten letten.

Of er ook sites zijn die lekken in andere systemen kunnen misbruiken… waarom niet. iOS en macOS lijken veel op elkaar en zijn op freeBSD gebaseerd, een *nix. Volgens het artikel komen ze binnen via Safari wat er niet voor Windows Linux Android is maar kan het ook via Chrome en dat is er natuurlijk ook voor Windows (en ik neem aan ook voor Linux) en Android.
Dat is onzin. Er was een tijd dat iOS een pak groter was dan Android en toen was het ook Android dat vol zat met malware/trojans ik denk dat de verhouding toen iets van 5 gevonden op iOS tegenover meer dan duizend op Android.

Dat had dus niets te maken met hoe groot de userbase was want Android was toen nog het kleine broertje van Android. Het was vooral de gatenkaas die Android was die malware en trojan makers lokte.
Er was een tijd, je bedoeld de begintijd van ios toe apple de smartphone populair gemaakt heeft. Dat was een korte tijd.

Android is door google gestart nooi met veiligheid in het achterhoofd. Updates altijd de verantwoording van tel fabrikanten die er niet naar omkeken. google wilde met android alleen zorgen dat je hun zoekmachine bleef gebruiken.

Dat update beleid is pas nu een beetje aan het veranderen maar is bij vele nog steeds brak.
Korte tijd? De eerste android is uitgekomen in 2008 dacht ik? Android is iOS pas beginnen inhalen rond 2013 dus zeker 5 jaar.
https://www.theverge.com/...vs-android-history-charts

volgens deze grafiek was android in 2010 al groter. Daarna spreekt de grafiek voor zich
ios is alleen 2008/2009
Alleen Apple haalt wel 87% van de winst binnen.

https://www.investors.com...mall-slice-of-unit-sales/

Op een bepaalde manier wel slim.

En Android (nog steeds?) heeft last van een zgn upgrade gap. Zelfs van een aantal nieuwe Android phones die nu verkocht worden, is vaak niet duidelijk of er een werkende SW upgrade aanwezig is over 2 jaar. Apple is daar veel duidelijker in.

2cts
Reageerde op marktaandeel, winst is heel ander thema.

android is nog steeds brak qua updates maar google zal het een zorg zijn.
Heb je een bron? Volgens mij is iOS namelijk maar 1 jaar groter geweest dan Android, en dat was het jaar dat Android net op de markt kwam.

https://www.theverge.com/...vs-android-history-charts
iOS was aan het begin ook een gatenkaas, elke versie had weer nieuwe jailbreaks bijvoorbeeld (wat een aardige graadmeter is hoe lek het OS is).
In de tijd dat Apple groter was, was het te klein om aandacht aan te besteden.
Het platform moet voldoende groot zijn om malware aan te trekken.
Alleen jammer dat niemand die lijst met 1000-den kan oplepelen. Waardoor het statement een beetje zijn kracht verliest en meer richting een Rant gaat.

[Reactie gewijzigd door Wim-Bart op 30 augustus 2019 20:05]

Het ligt er ook een beetje aan hoe je telt. Voor dit jaar zijn er tientallen virussen maar tel je alle apps mee die betrapt zijn met infectiegevaar dan komt deze site inderdaad op 17.000+ https://blog.trendmicro.c...-with-over-17000-samples/
Ja, maar zo kan je doorgaan, apps, sites. Maar ik denk dat je de applicatie laag even los moet laten en terug moet naar de basis, het core OS. En dan is het verhaal anders.

En daarna komen pas de andere onderdelen waar gaten in zitten, zoals de applicaties. En dan is er nog het onderscheid tussen native-apps, die je dus meegeleverd krijgt en de apps die mensen zelf installeren. En dan heb je daar ook weer varianten in, de apps die via een "beveiligde/gecontroleerde" store komen en apps die daar buiten om komen.
Het gaat vrijwel altijd om de apps, want wat het OS zelf met de buitenwereld doet, daar valt nauwelijks mee te rommelen. Dat is ook wel gebeurt maar draadloze verbindingen zijn intussen wel dichtgetimmerd en besmettingen via USB / hardware zullen nooit zulke epidemische vormen aannemen omdat je dan massaal besmette USB-sticks moet uitdelen.

Er is wel kritiek op de verplichte iOS App Store, maar niemand twijfelt er aan dat door de strenge controle het risico op problemen op iOS dramatisch lager ligt. Bovendien kan Apple bij een lek meteen ingrijpen en de app buiten spel zetten door het certificaat van de uitgever in te trekken. Omdat iOS-apparaten standaard updates bijwerken, is een app wereldwijd in korte tijd voor het leeuwendeel onschadelijk te maken.
Het mag duidelijk zijn dat beveiligingsupdates ook voor telefoons uitermate belangrijk zijn. Al je opgeslagen wachtwoorden kunnen door derden misbruikt worden. Telefoons zonder een duidelijk update/patch beleid voor een redelijke gebruiksduur (3-4 jaar) van een telefoon zijn per definitie onveilig.
Er staat toevallig ook een review op Tweakers van enkele goedkopere telefoons online. Hier wordt vermeld dat de ondersteuning van een merk onbekend is, een ander merk tot maart 2021 (slechts 1,5 jaar) en van een tweetal toestellen 3 jaar. Ik zie hier niets van terug in de conclusie over deze toestellen. Het wordt ook niet genoemd in de plus/min punten. Zelfs de reviewer van Tweakers vindt het dus blijkbaar allemaal prima. Hoe serieus heb je dan je werk gedaan?

[Reactie gewijzigd door Erwin1967 op 30 augustus 2019 13:27]

Je kan zo'n heel circus wel optuigen, en vervolgens lees je dus hier dat Apple, met de langste updates, alsnog massaal gehacked wordt.
Neemt niet weg dat het fijn is als je toestel nog een update krijgt. De iPhone 5s uit 2013 draait iOS 12 (of dat soepel draait laat ik in het midden) maar in theorie zou dit toestel bijna 6 jaar na introductie nog de update krijgen. Ik heb nu een Samsung S7 en deze heeft helaas niet zo'n lange ondersteuningsperiode.
Het wordt zelfs niet bij benadering duidelijk hoeveel % van de gebruikers besmet is geraakt en hoeveel daarvan actief gehackt zijn. Dan nog zijn die gebruikers intussen al weer lang en breed veilig hiervoor als ze gewoon de automatische update aan hebben laten staan.

Aangezien Chrome volgens Google ook gevoelig is voor voor deze hack, kun je er op wachten dat dit net zo goed gebruikt wordt tegen Chrome. Zeg zou zelf: Waarom zouden hackers een groep potentiële slachtoffers laten liggen die vele malen groter is?

Alleen die krijgen vaak geen updates. Dus daarbij is het probleem niet zomaar opgelost. Ben je dan beter af met Android? Lijkt me niet.

Kortom dit trekt niet meteen de veiligheid van Android en iOS naar één niveau.
Don 't shoot the messenger, never.
De aanvallers gebruikten WebKit-kwetsbaarheden..
Tja, als je geen andere browser engines toestaat is dat natuurlijk een gemakkelijk doelwit.
Google's eigen Chrome is een fork van Apple's Webkit. Als deze kwetsbaarheid niet in Chrome zit, dan heeft Google dit ooit al eens gefixt. Het is dus ook kwalijk van Google dat ze Apple niet eerder hebben ingelicht!

En zie hier weer een extra veiligheidsrisico dat vele browsers (laatst kwam MS Edge erbij) de Chromium engine gebruiken; hack je er één, dan hack je ze allemaal!
Een "webkit" browser bestaat uit diverse componenten - op iOS hangt daar bv de Nitro javascript engine aan, terwijl bij desktop Chrome (en Android) de V8 engine wordt gebruikt. Het is nog onduidelijk of webkit browsers met de V8 javascript engine ook kwetsbaar zijn.

[Reactie gewijzigd door Dreamvoid op 30 augustus 2019 15:05]

De Webkit is min of meer de HTML/XML rendering engine. Daarbij heb je nog JavaScript nodig, en codecs voor plaatjes en filmpjes. Chrome had ook ooit Flash support ingebakken. De JavaScript van Chrome was lange tijd de reden dat deze browser sneller was dan Safari.
Inderdaad, maar als ik zo snel de websites van deze exploits doorlees lijken de chains via javascript binnen te komen, niet via de HTML rendering engine.
Tja, dat kan ook bijna niet anders want via HTML en CSS kom je nooit buiten je browserzandbak.
Daarom is het ook ietwat misleidend om het te hebben over een lek in Webkit terwijl het probleem lijkt te liggen in de Nitro JS engine.
Flash werd verbannen door Apple en nu blijkt de Apple-eigen JS engine het probleem. De ironie ontgaat mij niet ;(

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True