Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple hekelt 'paniekzaaierij' van Google rondom onderzoek iPhone-hacks

Apple vindt dat Google onnodig paniek zaaide met de berichtgeving rondom de grote iPhone-hacks van een week geleden. Het bedrijf zegt dat de ontdekte kwetsbaarheid slechts twee maanden actief was. Apple erkent ook dat de aanval op Oeigoeren was gericht.

Dat schrijft Apple in een openbare brief. Het bedrijf reageert daarmee op Googles ontdekking van vorige week. Beveiligingsonderzoekers van het bedrijf maakten toen details bekend over kwetsbaarheden in besturingssysteem iOS die zouden zijn misbruikt om iPhones te infecteren met malware.

In een analyse zei Google dat de kwetsbaarheden al sinds september 2016 werden ingezet. Dat zou gebeuren op websites waarbij bezoekers direct geïnfecteerd werden als zij die bezochten. Apple ontkent dat het lek zo lang actief was. 'Alles wijst erop dat de websiteaanvallen een korte periode duurden, ruwweg twee maanden, in plaats van twee jaar zoals Google impliceert.' Het bedrijf zegt daarnaast dat de kwetsbaarheid tien dagen nadat het werd ontdekt is, gerepareerd. 'Toen Google bij ons aanklopte, werkten we al aan een fix', schrijft Apple.

Apple hekelt de manier waarop Google 'de valse indruk wekt' dat het lek op grote schaal werd uitgebuit. Google schreef in het onderzoek termen als 'mass exploitation', en schreef dat de aanvallen werden gebruikt om 'privéactiviteiten van complete bevolkingen in real time te volgen.' Apple ontkent dat en zegt dat iPhone-gebruikers niet persé getroffen zijn.

Apple erkent dat de website waarschijnlijk de Oeigoers-Chinese minderheidsgroepering volgde. Ook nadat Google het onderzoek publiceerde was niet duidelijk welke websites precies werden gebruikt voor de aanvallen, en voor welk doel dat was. Wel zeiden bronnen later tegen Forbes dat het zou gaan om Chinese aanvallen tegen Oeigoeren. Die worden in China al jaren opgejaagd en door de overheid in 'heropvoedingskampen' geplaatst. Apple wijst in de brief niet specifiek met de vinger naar China, maar zegt wel dat de aanval bestond uit 'minder dan een dozijn websites met content die aan de Oeigoerse gemeenschap is gerelateerd.'

Door Tijs Hofmans

Redacteur privacy & security

06-09-2019 • 20:14

225 Linkedin Google+

Submitter: xvilo

Reacties (225)

Wijzig sortering
In mijn ogen terecht dat Apple hier kritiek op Google/Alphabet heeft. Slechts een week de tijd geven en dan ook nog zo hoog van de toren te blazen zonder te melden dat o.a. ook het eigen besturingssysteem lek was....

Apple is absoluut geen heilige, maar ik neem hen wel wat serieuzer mbt dit soort dingen dan Google, wat er een handje van heeft om ontdekkingen te misvormen om concurrenten te beschadigen en eigen schade te verdoezelen.
Was het eigen besturings systeem dan net zo lek?

Daar heb ik niks over gehoord namelijk

Alleen 1 artikel dat windows en android ook "targets waren", maar niet dat je door een website te bezoeken gelijk toegang geeft tot je whatsapp texts etc.
Wie vertrouw je meer? Google of Apple?

Geen van beide, dan maar? Bijzonder lastig om te bepalen wat de waarheid is: beiden hebben genoeg motieven om zelf niet 100% zuiver te zijn in deze. Daarbij blijft de Chinese overheid buiten schot: Google en Apple hadden dit gedrag richting een etnische groepering door hun overheid moeten aanvallen in plaats van elkaar.

Maar ook daar hebben beiden te veel motieven om juist dat niet te doen.
In dit geval vertrouw ik in elk geval niet Google. Als die oprecht hadden gehandeld, zou het niet een week hebben geduurd voordat (met veel minder bombarie) bekend werd dat dezelfde exploit ook op Android en Windows gericht was.
Laten we zeggen. Apple is heer en meester in damage control.
Nou nee. Google neemt de concurrentie wel vaker op de ha(c)k met hun project Zero. Ze misbruiken het voor eigen gewin en ten nadele van anderen die in hun vaarwater zitten. Intel krijgt wel dik een half jaar de tijd voor 1 van de meest serieuze exploits in de geschiedenis van computing, kleinere partijen krijgen ook maanden de tijd. Zelf is Google ook niet te beroerd om ver voorbij hun "keiharde" 2 maanden limiet te gaan.

Maar een Apple of Microsoft, nope. Dan moet het zo hoog mogelijk van de toren geblazen worden.

Daarnaast, wie denkt Google dat ze zijn met hun gatenkaas Android, wat ze toch echt zelf veroorzaakt hebben en de schuld er van bij anderen in de schoenen schuiven.

Voor mij heeft Google met Project Zero ondertussen alle gelovigheid verloren. Nobel idee, maar erg jammer dat ze het zo misbruiken.
Tja...
Deze week maakte Zerodium op Twitter bekend dat bugs op Android maximaal 2,5 miljoen dollar waard zijn, tegenover "slechts" 2 miljoen voor iOS.
Fox-IT bevestigde gisteren via Twitter het nieuws dat bugs op iOS minder waard zijn.

Dan kun je dus wel wijzen naar de "onbetrouwbaarheid" van Project Zero, feit is dat IOS flink ingeleverd heeft op veiligheid ten opzichte van Android.
iOS kan misschien niet het veiligste OS zijn. Maar Apple heeft niet ~80% van zijn gebruikers met een niet geupdate OS rondlopen.
Die updates zijn toch juist voor de veiligheid? ;)
Feature updates is niet zo erg als je deze niet krijgt.
Die updates zijn toch juist voor de veiligheid? ;)
Feature updates is niet zo erg als je deze niet krijgt.
Nee ?
Updates zijn er om iets oa veiliger te maken. op oude OS val je sowieso snel door de boot, want dan is er geen ondersteuning meer voor Apps die daar wel waarde aan hechten. oa Samsung Galaxy S4 uit het zelfde jaar als iPhone 5S, waar laatste nog op laatste iOS versie draait.
Dat is de afweging of je een trage smartphone wil op een modern OS (hardware trekt de software niet) of een OS dat bij de smartphone past, maar ook met de beveiliging van toen. Beiden is gewoon niet echt gewenst.

En wat hierboven al uitgelegd werd: het kan prima zijn dat je geen Android-updates meer krijgt (dus qua versie achterblijft), maar nog wel security-updates krijgt. Die lijstjes met hoeveel oudere Android-devices er zijn, zeggen dus niet zoveel.

[Reactie gewijzigd door Grrrrrene op 8 september 2019 08:50]

Dat is de afweging of je een trage smartphone wil op een modern OS (hardware trekt de software niet) of een OS dat bij de smartphone past, maar ook met de beveiliging van toen. Beiden is gewoon niet echt gewenst.

En wat hierboven al uitgelegd werd: het kan prima zijn dat je geen Android-updates meer krijgt (dus qua versie achterblijft), maar nog wel security-updates krijgt. Die lijstjes met hoeveel oudere Android-devices er zijn, zeggen dus niet zoveel.
Het gaat er niet om dat er android toestellen zijn met oude OS en af en toe een sec patch krijgen.
(het zou ook niet beste zijn als dat ook niet gebeurt)
Om terug te komen op iPhone 5S uit het jaar van Galaxy S4, waar de iPhone alle updates t/m nu meekrijgt en de Galaxy S4 niet. ook krijgt die geen Sec. patch meer. Galaxy S5 kreeg de laatste dacht ik in aug 2018.
Ik weet niet of het bij Android L ook al het geval was... het gebeurt nu wel iig. Dus het gebeurt wel degelijk.
(Verder boeit het me vrij weinig, als ik nu nog met een S4 liep zou ik sowieso huilen)
Dat is wel een goede onderbouwing. Je weet het niet, en huilt als je een ouder toestel hebt... waar gaat dit over ?
verder lees bovenstaand. als je iets niet weet, roep dan ook niet zomaar iets.
Het gaat er om dat je bij eerder aangegeven toestellen sneller risico loopt, en je dus eerder je toestel moet vervangen voor beter. (terwijl een Galaxy S5 nog voor velen prima is, en ook nog veel gebruikt wordt)

[Reactie gewijzigd door Hackus op 8 september 2019 10:53]

[...]


Het gaat er niet om dat er android toestellen zijn met oude OS en af en toe een sec patch krijgen.
(het zou ook niet beste zijn als dat ook niet gebeurt)
Om terug te komen op iPhone 5S uit het jaar van Galaxy S4, waar de iPhone alle updates t/m nu meekrijgt en de Galaxy S4 niet. ook krijgt die geen Sec. patch meer. Galaxy S5 kreeg de laatste dacht ik in aug 2018.
Daar gaat het juist wel om. Wat @spNk net als ik aangeeft is dat je bij Android de versie van het OS los moet zien van de versie van de security updates. Je hebt het zelf nml letterlijk over de iOS-versie:
...waar laatste nog op laatste iOS versie draait.
En ja, een 5S draait een moderner OS dan de S4, maar who cares? Beide zijn oude telefoons. De 5S is traag, heel traag onder het nieuwste iOS besturingssysteem. De S4 is onveilig met zijn laatste updates. Beide lijken me erg onwenselijke situaties. Bij de 5S houdt het mensen waarschijnlijk tegen om de nieuwste updates te installeren, bij de S4 heb je die keuze niet.
[...]


Daar gaat het juist wel om. Wat @spNk net als ik aangeeft is dat je bij Android de versie van het OS los moet zien van de versie van de security updates. Je hebt het zelf nml letterlijk over de iOS-versie:


[...]


En ja, een 5S draait een moderner OS dan de S4, maar who cares? Beide zijn oude telefoons. De 5S is traag, heel traag onder het nieuwste iOS besturingssysteem. De S4 is onveilig met zijn laatste updates. Beide lijken me erg onwenselijke situaties. Bij de 5S houdt het mensen waarschijnlijk tegen om de nieuwste updates te installeren, bij de S4 heb je die keuze niet.
Je haalt alles door elkaar !
5S = iPhone
S5, S4 is Samsung Galaxy
Van beide Android krijg je vanaf 08-2018 geen sec. patches meer.
bij iPhone 5S nog wel t/m recent 12.4.1. iPhone 5S is uit het jaar van Samsung Galaxy S4.
Daar zit het verschil. Dat Samsung af en toe (vaak om de 8maand) voor een Galaxy 6S nog patches uitbrengt mag ook wel. Het gaat om de eerdere toestellen waar er van de Samsung Galaxy S5 nog veel in omloop zijn.

Kortom, wordt je daar eerder gedongen je toestel te vervangen voor nieuwere(vaak alleen om beter beveiligd te zijn.) Daar gaat het dus om
[...]


Je haalt alles door elkaar !
5S = iPhone
Ik snap niet helemaal waarom je denkt dat ik dit niet snap, aangezien ik zeg dat de 5S iOS draait. Of wist je niet dat iOS door Apple ontwikkeld wordt?
S5, S4 is Samsung Galaxy
Ik ben bekend met Samsung ja. Daarom noem ik die ook als Android-toestel. Android is een OS ontwikkeld door Google.
Van beide Android krijg je vanaf 08-2018 geen sec. patches meer.
De S4 is geïntroduceerd in maart 2013, wat had je dan verwacht na 5 jaar? Waarschijnlijk koop je een 3 jaar nieuwer toestel voor 50-100 euro :)
bij iPhone 5S nog wel t/m recent 12.4.1. iPhone 5S is uit het jaar van Samsung Galaxy S4.
Daar zit het verschil. Dat Samsung af en toe (vaak om de 8maand) voor een Galaxy 6S nog patches uitbrengt mag ook wel. Het gaat om de eerdere toestellen waar er van de Samsung Galaxy S5 nog veel in omloop zijn.

Kortom, wordt je daar eerder gedongen je toestel te vervangen voor nieuwere(vaak alleen om beter beveiligd te zijn.) Daar gaat het dus om
Je snapt het punt duidelijk niet. Ook bij de iPhone 5S word je gedwongen iets nieuwers te kopen, want hij wordt onwerkbaar traag met het nieuwste OS erop. Mijn schoonmoeder heeft er zo een omdat hij zo mooi compact was, zelfs Whatsapp opstarten duurt bizar lang. Geheugen zit vaak vol. En als er iemand geen apps en games installeert naast Whatsapp, is zij het wel :) Maar ja, nu "moet" ze over omdat ze zich stoort aan de traagheid. Het is alsof je vol trots zegt dat je 10 jaar oude PC Windows 10 draait met de laatste beveilingspatches, maar je rustig koffie kunt gaan halen voor Word of Excel opgestart is :+
Volgens mij ben je het hele punt kwijt waar het om gaat(wat ik aangaf in 1e instantie) verder is een iPhone 5S niet traag. wel vergeleken met moderner toestel als SE. maar het ging om vergelijking van sec. updates tov Galaxy S4 uit het jaar van iPhone 5S. That's All !

hier je reactie waar ik op reageerde
Die updates zijn toch juist voor de veiligheid? ;)
Feature updates is niet zo erg als je deze niet krijgt.

[Reactie gewijzigd door Hackus op 8 september 2019 11:36]

Dat is mijn reactie niet :)

Maar die reactie is precies mijn punt: feature updates niet krijgen is niet zo erg (sterker nog: gezien de traagheid van de 5S misschien wel gewenst dat je die op termijn niet meer krijgt), security updates niet krijgen is wel erg. Het lijkt erop dat jij het onderscheid tussen die twee niet kunt of wil maken. Dat is jammer, maar so be it. Ik laat het hierbij. Telefoons van ruim 6 jaar oud aanvallen op het ontbreken van updates is echt spijkers zoeken op laag water.

[Reactie gewijzigd door Grrrrrene op 8 september 2019 11:59]

Bij Apple misschien. Android kent security updates los van OS versies.
Bij Apple misschien. Android kent security updates los van OS versies.
Nu nog steeds voor Android 5 ?
Geen idee.
waarom post je dan een bericht waar je het wilt doen lijken alsof het wel gebeurt ?
Verder zijn er zat bugs en veiligheidsproblemen in Android. zgn security patch is er om een bekende bug te verhelpen. Er zal altijd weer iets opduiken wat gefikst moet worden, alleen is de kans kleiner op nieuwste OS met recente updates ?
Ik weet niet of het bij Android L ook al het geval was... het gebeurt nu wel iig. Dus het gebeurt wel degelijk.
(Verder boeit het me vrij weinig, als ik nu nog met een S4 liep zou ik sowieso huilen)
Dus jij denkt dat er slechts 20% met een oude iPhone rond loopt?
Daarbij onderschat je de updates van Android toestellen gezien ze wel nog patches ontvangen als dat noodzakelijk is, dus als ze niet de nieuwste versie van Android krijgen wil niet zeggen dat ze geen patches meer krijgen.

In tegenstelling tot iOS, die stoppen in zijn geheel met updates/patches en geven doodleuk aan als je in de instellingen op 'updaten' klikt: "Je toestel is up-to-date" ipv "Dit toestel wordt niet meer ondersteund". Alle oude iPhone modellen die op de oude iOS blijven hangen zijn dus inmiddels ook zo lek als een mandje.

Daarbij toestellen vaak worden doorgeschoven en als refurbished nog verkocht worden als nieuw, terwijl het nog maar kort updates zal ontvangen, zullen ze zeker nog meerdere jaren gebruikt worden. Tevens doen mensen tegenwoordig ook langer met hun smartphone dan voorheen.

Ik denk dat je met 20% het zwaar onderschat.
Laatst kreeg een iphone 5 nog een patch voor ios 10.
Klopt helemaal. Maar dit was niet voor security updates, maar alleen voor een GPS fix.

iOS 10.3.4 was released on July 22, 2019 to address an issue that could impact GPS location performance and could cause the system date and time to be incorrect. It is available exclusively to the iPhone 5 and the cellular model of the iPad (4th generation).
"geupdate OS"

Ja, maar als updates en/of het OS dit soort hacks nog steeds niet voorkomt heb je daar mogelijk toch niet zo veel aan.
Misschien moet je het artikel en alle comments lezen om beter te begrijpen waarom een bepaald type Android exploit zo gewild en duurbetaald is (en even de eisen lijst lezen). :) Je “feit” is een conclusie die louter voortkomt uit onbegrip van de materie. Wat niet geeft, het is en blijft immers complex en het is een nogal louche markt.
Als kwaad willende betaal je het meest voor de exploit waar je de meeste schade mee aan kunt doen. Dus wat je zegt is dat een Android exploit effectiever is en daarom meer waard? Dus zeg je daarmee dat androids beveiliging minder goed is en daarom meer gewild?
Of heb je het over beloningen voor fixes via bounties? Dan geld het zelfde hoe groter de gatenkaas aan beveiliging hoe eerder men bereid is veel te betalen
Je betaald het meeste voor exploits waar je ze het beste kan inzetting. Als ios door bedrijfsleven en dan vooral de top gebruikt wordt kan een exploit specifiek op die groep met een bepaald doel meer waard zijn dan een android exploit waarmee je een grotere groep kan bereiken.

De waarde van een exploit is een zwarte markt waarde, vraag en aanbod.

Beloningen door fabrikanten is puur welke waarde deze aan het vinden van bugs geven. Die beloning zegt echter niets over de waarde op de zwarte markt.
Dan kun je dus wel wijzen naar de "onbetrouwbaarheid" van Project Zero, feit is dat IOS flink ingeleverd heeft op veiligheid ten opzichte van Android.
Bewijs dat "feit" maar eens!

Maar stel dat het waar is, dan nog is iOS vele malen veiliger, want vrijwel alle Apple gebruikers zitten op de laatste 2 iOS versies, en de overgrote meerderheid van de Android gebruikers zit op een antieke, niet gepatchte, Android versie.
Wat jij hier vergeet te vermelden, en Google overigens ook, is dat deze hack niet alleen op iOS werkte, maar ook op Android en Windows. Als de veiligheid van iOS een deuk heeft opgelopen, dan heeft de veiligheid van Android (je weet wel, van Google, dat dit nieuws zeer gefilterd heeft gebracht) eenzelfde deuk opgelopen.

Geen enkel OS is heilig en onkraakbaar, dus ook iOS niet. Maar vergelijk het met wat er in de markt is, dan voel ik me met m'n iPhone met een bijgewerkte iOS nog steeds erg veilig.
Ik dénk dat je zelf een beetje op je teentjes bent getrapt, want je reageert zo boos maar hebt zo te zien nog steeds niet gelezen en dus niet uitgevogeld *waarom* die Android exploit zo duur betaald is en waarom dat niets zegt over het niveau van de iOS beveiliging. :P Of überhaupt over Android vs iOS veiligheid, het heeft er eigenlijk niets mee te maken. Jij trekt een foute conclusie (en noemt dat nu tot overmaat van ramp een feit) omdat je het niet snapt, dan moet je niet boos worden op de mensen die je proberen te helpen het wel te begrijpen en met de fanboy dooddoener gaan zwaaien. :) Maar ik denk dat je beledigd bent vanwege de "het is moeilijke materie" opmerking? Die was niet denigrerend bedoeld hoor, ik kan het gewoon oprecht begrijpen als iemand zo'n conclusie trekt uit de basis informatie en wat tekst van de auteur, daarom melde ik het. Dus absoluut niet lullig bedoeld, no worries.

Ik wil het je wel voorkauwen als je echt wil, maar ik had eigenlijk gehoopt dat je was gaan kijken, de bronnen én de comments was gaan lezen om zelf 1 + 1 = 2 te doen. Dat is meestal net iets leerzamer dan spoonfeeding.

Anyway, sorry als ik je beledigd hebt.

[Reactie gewijzigd door WhatsappHack op 7 september 2019 21:33]

ik denk dat het aan je korte tenen ligt, want nu wordt je weer boos zonder reden :X

Ik denk dat je ook niet weet wat spoonfeeding inhoudt. Je hebt me niets nieuws verteld, maakt ook nog een fout, je hebt blijkbaar nog steeds niet gelezen en gooit het nu ook opeens over een iets andere boeg dan je eerdere posts. Het zal allemaal wel, ik geef het op - je doet het denk ik expres. :) Ik hou het hierbij: je opmerking "feit is dat IOS flink ingeleverd heeft op veiligheid ten opzichte van Android" slaat helemaal nergens op op basis van die $2.5M bounty. EOS.
Daarnaast, wie denkt Google dat ze zijn met hun gatenkaas Android, wat ze toch echt zelf veroorzaakt hebben en de schuld er van bij anderen in de schoenen schuiven.

Voor mij heeft Google met Project Zero ondertussen alle gelovigheid verloren. Nobel idee, maar erg jammer dat ze het zo misbruiken.
Het is ook hoe belangrijk.

Ik bedoel de lek van Intel en AMD is vele malen moeilijker te misbruiken terwijl bij Apple het veel ernstiger is. Dus ja ik heb dan liever Google project zero dan Apple die heer en meester is in damage control. Ik zie het werkt.perfecf bij jou
Die van Intel was ook vanaf een website te misbruiken met Javascript. |:(
Dat is ook zo, maar die exploit werd gepubliceerd nadat alle details volgens mij naar buiten waren gebracht, en Intel een fix (bijna af) had. Dus "waarom het slot slecht was" - met mogelijke pleisters - werd 1 dag gepubliceerd voordat de handleiding "hoe het slot te omzeilen" werd gepubliceerd.

In het geval van iOS beweert Google (voor wat het waard is) dat het al 'in het wild' uitgebuit werd. Dus dat het slot al omzeild was en de inbraak op dat moment 'bezig was'. Als dat zo is heb je inderdaad meer haast. Mogelijk doet Google het voor eigen gewin, maar voor de Oeigoeren is het denk ik wel goed dat Google er zoveel haast achter zette (en ook snel werd bekend dat het ook Android en Windows betrof!).
Ze hadden het prima aan Apple kunnen melden ipv openbaar maken. Dus de "haast" heeft er helemaal niks mee te maken, behalve het eigen "gewin" natuurlijk.
Ze maken het áltijd eerst bekend bij de partijen die het moeten fixen. Afhankelijk van hoe snel iets te fixen is of impact brengen ze het na 2 of 6 maanden in het nieuws. En zeker niet anders om.

Dit zet de leverancier iig onder druk om het zsm op te lossen, waar de consument dus weer voordeel van heeft.
"Google heeft Apple hierover ingelicht op 1 februari en een deadline gegeven van een week voor het uitbrengen van een patch. Dat resulteerde in de komst van iOS 12.1.4 op 7 februari dit jaar."

Een week of 2/6 maanden is nogal wat anders, toch? Daarnaast was Apple al 3 dagen bekend met het probleem toen Google het meldde.

"Het bedrijf zegt daarnaast dat de kwetsbaarheid tien dagen nadat het werd ontdekt is, gerepareerd. 'Toen Google bij ons aanklopte, werkten we al aan een fix', schrijft Apple."

Als je de berichtgeving moet geloven, vind ik dus ook dat Google hier alleen uit eigenbelang heeft gehandeld. Zeker gezien de kwetsbaarheid in hun eigen Android die daardoor veel minder groot in het nieuws kwam. Slim, dat wel.
Lees nou een keer, wat is er nou zo moeilijk aan te begrijpen dat het gat in iOS al actief misbruikt werd, en dat van Intel nog niet? Heeft u uberhaupt de reactie gelezen waar u op reageert, of waren die 7 regels gewoon te moeilijk?
Haha ik denk dat jij even moet kijken waar ik op reageer :+

Overigens lees ik je regeltjes wel, ben ik het er alleen helemaal niet mee eens. Google maakt het bij iOS alleen bekend om Apple te stangen. Of het al misbruikt wordt of niet staat er ver buiten, het is niet aan Google om het zo snel (binnen een week!) openbaar te maken.

[Reactie gewijzigd door Thomas18GT op 8 september 2019 16:54]

Correct, mijn excuses. Hoewel ik wel vind dat iets dat actief misbruikt wordt gewoon gelijk openbaar moet worden gemaakt; beter dat iedereen het weet dan alleen de misbruikers.

[Reactie gewijzigd door kidde op 9 september 2019 12:07]

Zodat het nog veel grootschaliger kan worden misbruikt? Dat klinkt echt als een heel goed plan...
Je vergeet dat het ook Android en Windows devices betrof maar dat het nieuws (blog Google) zich enkel richt op Apple.
Je wordt gedownmod maar maakt een prima punt. Een van de redenen van deze publieke reactie is schade beperking en imago verbetering.
Wat is je bron dat er via dezelfde sites ook Android en Windows exploits gedeployed werden? Google Project Zero heeft ze in ieder geval niet gevonden. En voordat je over bias begint, GPZ heeft genoeg posts over exploits in Android.
Ik zal niet over bias beginnen, want ik vermoed dat die er (bijna) niet is.
Precies, het is nu duidelijk wat de intenties van Google zijn met Project Zero, concurrentie in een kwaad daglicht zetten. Maar heel toevallig vergeten ze wel te vermelden dat hun eigen systeem ook kwetsbaar was. En dan ook nog een liegen over hoe lang de kwetsbaarheid t misbruiken was en hoe groot de impact was. Het feit dat ze verder geen details geven of heel vaag zijn over het aantal websites en welke maakt wel duidelijk simpelweg de boel aan het flessen is.
Wat een walgelijk hypocriet bedrijf.
Don't shoot the messenger.
C’est le ton qui fait la musique.
De bombarie komt natuurlijk niet van google. Dit soort berichten worden onmiddellijk door iedereen met veel emotie doorverteld.
" In dit geval vertrouw ik in elk geval niet Google. Als die oprecht hadden gehandeld, zou het niet een week hebben geduurd voordat (met veel minder bombarie) bekend werd dat dezelfde exploit ook op Android en Windows gericht was."

Dat je een +2 krijgt vind ik onbegrijpelijk, je claimt namelijk iets zonder enkele vorm van onderbouwing of bron wat voor zover ik kan vinden ook nog eens gewoon onwaar is. Laten we het maar op een soort van "alternative fact" houden.

De publicatie gaat primair over kwetsbaarheden in een operating system, niet over de groep die de hack uitvoert, of over wat voor andere zaken die groep uitspookt. Dat die groep dezelfde gehackte website mogelijk in wou zetten om windows of android aan te vallen zou best kunnen. Maar "dezelfde exploit" is gewoon onzin. Maar ach wat zou het toch? Je hebt in ieder geval wel weer even de 10.000 lezers van je post beïnvloedt en de haat op Google lekker aangewakkerd.

One source familiar with the hacks claimed Google had only seen iOS exploits being served from the sites.

"Google Project Zero was very specific in its blog post that the recently publicized attacks used unique iPhone exploits and they have not disclosed similar information to us," a Microsoft spokesperson said.

Bron

edit: quote toegevoegd

[Reactie gewijzigd door azortje op 7 september 2019 13:40]

Okee, in plaats van 'dezelfde' had ik misschien 'soortgelijke' moeten zeggen. Als er in de verschillende systemen niet een gemeenschappelijke kwetsbaarheid zit, is het logisch dat de ene exploit een variatie zou zijn op een andere en ze dus niet letterlijk 'dezelfde' zijn.

Het is niet mijn intentie om "haat op Google" aan te wakkeren. Ik heb zelf geen haat die kant op en ik vind dat Project Zero zeer nuttig werk doet. Hoe het moederbedrijf daar vervolgens mee omgaat, is naar mijn mening niet op alle momenten even fris.
Dat hoef jij niet met mij eens te zijn, geeft niks. Net als dat het jou en mij volledig vrij staat onze eigen gedachten te hebben bij de ontkenning van Microsoft of over het hackgehalte van diverse OS'en.
Ik denk dat je eerder nieuws-sites / kranten moet gaan wantrouwen. Zij brengen dit soort nieuwsberichten op deze wijze naar buiten op basis van feiten die Google publiseerd.

Als een nieuwssite/krant een clickbait kan maken doen ze meteen een smeuïge 'krantenkop', nemen tegenwoordig niet de moeite om verder te kijken of het ook andere OS'en betrof/betreft. Vervolgens wordt door die zelfde media een zwarte piet toegespeeld richting de bron vermelder om zo hun handen te kunnen wassen in onschuld, want zij zijn slechts 'the messenger'.

Overigens smullen nieuwssites van dit soort situaties, want ook dit kan men weer uit zijn verband trekken en uitmelken tot nieuws.

Realiseer dat nieuwsberichten voornamelijk aan het opjutten zijn, totaal niet realistisch, maar puur om lezers te trekken. Men moet berichten meer met een korreltje zout nemen, en slechts de feiten eruit filteren. Dan blijken een hoop dingen gewoon wel mee te vallen.
Die exploit ging over webkit, wat niet gebruikt word op Android en Windows. Dus wat het ook was. Android en Windows waren niet net zo lek als iOS die zo lek was dat t amper vaarwaardig was
Musback, soms kost het ff voordat het juiste cijfertje bij je reactie staat. Ik heb vaker posts van -1 naar 1 zien gaan (of zelfs hoger), maar je kan ff pech hebben met de eerste mods. Jammer dat je je reactie verwijderd hebt.

(kijk, mijn bericht verdient een terechte 0)
Ik ga hier voor de -1, dat moge duidelijk zijn maar wil deze wel verdienen met een advies aan jou. :)

Het maakt in de basis niet uit wat je schrijft, vaak is het de toon die de muziek maakt. Een reactie wegknippen omdat er mensen over vallen is vaak niet nodig. Je kunt nu eenmaal niet altijd een mening hebben waar anderen het mee eens zijn. Je ziet het vaak terug in telefoon-gerelateerde onderwerpen dat de moderatie nergens over gaat.

Ik weet niet wat je hebt geschreven maar je hebt het weggehaald. Daarmee toon je aan dat je in ieder geval bewust met de inhoud van jouw reactie bezig was. Zoals @Monochrome terecht opmerkt, soms kost het wat tijd. Laat nooit de moed zakken op de wijze waarop er wordt gemodereerd. Doet een moderatie afbreuk aan wat je schrijft? Misschien.

Als je jouw reactie vervolgens weghaalt omwille van de moderaties dan kan niemand jouw boodschap meer zien en kan niemand meer een beeld vormen voor wat betreft jouw gedachte over het onderwerp.

Om een kort verhaal nog langer te maken ( :+ ), trek het je niet aan, dit soort onderwerpen trekt mismodders aan en dat ligt niet direct aan jou, het heeft meer met de lange tenen van anderen te maken. :P
Dan zou de eventuele schade nog veel groter kunnen worden.
Als deze methode al echt sinds 2016 misbruikt is/kan worden dan betekend dat dus dat dit 4 iOS Major versions is, dus al vanaf iOS 8 tot 12.4.0
Dit betekent dat miljarden iOS apparaten die niet meer geüpdatet kunnen worden -want geen ondersteuning meer voor- vatbaar blijven, voor altijd.
Alles wijst erop dat dit een “overheidshack” is, gedaan door China.
China zal dit niet prijs willen geven vanwege gezeik wat ze ermee kunnen krijgen en omdat veel apparaten vatbaar blijven, dus de hack blijft bruikbaar, alleen niet voor apparaten dat 12.4.1 of nieuwer kan draaien.
Dus geheimhouding is in ons voordeel maar ook in het voordeel van de maker (China)
Dan zou de eventuele schade nog veel groter kunnen worden.
Als deze methode al echt sinds 2016 misbruikt is/kan worden dan betekend dat dus dat dit 4 iOS Major versions is, dus al vanaf iOS 8 tot 12.4.0
Dit betekent dat miljarden iOS apparaten die niet meer geüpdatet kunnen worden -want geen ondersteuning meer voor- vatbaar blijven, voor altijd.
Ik kan je gerust stellen, volgens statistieksite Statcounter zit wereldwijd ongeveer 85% van alle iOS toestellen minimaal op versie 12.1.4 waarin dit lek gedicht is. Omdat die versie op elke iPhone sinds de 5S uit 2013 is te gebruiken lijkt het niet onlogisch dat die overige 15% bestaat uit telefoons van voor 2014. Ik kan mij niet voorstellen dat die overige 15 procent er al miljarden zijn en dat die blind worden gebruikt voor gevoelige zaken.

Zelf draag ik aan die 15% bij door gebruik te maken van een paar prepaid 4S iPhones op systeem 9.3.6 om te navigeren, geotacken van foto's en om gewoon te bellen, te facetimen en te sms-en. Voor bankieren enzo gebruik ik een uptodate iPad, dus erg bang voor misbuik na een hack van mijn 4S-en ben ik ook niet echt...

Prima dat Google zulke kwetsbaarheden onderzoekt maar vervolgens de resultaten zo naar buiten brengen dat het maximaal je concurrenten schaadt laat toch een nare smaak achter.
Zelf draag ik aan die 15% bij
Toevallig, ik ook, met een iPad 4 en een iPad mini 1.
Met beide wordt niet veel gesurft, hoofdzakelijk YouTube en spelletjes voor de kids, maar wel online.
Stel dat de hack methode publiek wordt en een via een advertentie verspreid kan worden, dan worden iOS apparaten zoals onze -die niet opgenomen worden in de statistieken van Statcounter omdat er niet mee gesurft wordt- wel geïnfecteerd.
Prima dat Google zulke kwetsbaarheden onderzoekt maar vervolgens de resultaten zo naar buiten brengen dat het maximaal je concurrenten schaadt laat toch een nare smaak achter.
100% mee eens.
Realiseer dat advertenties óók malware kunnen bevatten. Dus spelletjes en video's kijken is feitelijk gewoon gebruik maken en het web betreden.
Dan zou de eventuele schade nog veel groter kunnen worden.
Hoe dan? Sowieso mag je aannemen dat die sites nu op orde zijn, maar als dat niet zo is kun je ze pas vermijden als je weet welke het zijn.

Jammer dat Google dit probeert ten eigen gunste probeert te spinnen terwijl hun eigen software ook kwetsbaar was.

Daarom zouden wat meer details welkom zijn want je wordt hier heel sceptisch van. Ik neem voorlopig persberichten van Google met nog meer zout dan van andere molochen.
Sowieso mag je aannemen dat die sites nu op orde zijn
“Assumption is the mother of all f*ckups”
maar als dat niet zo is kun je ze pas vermijden als je weet welke het zijn.
Jij en ik en de andere 99% van de mensen zullen die sites vermijden.
Maar die laatste paar hackers/criminelen zullen juist naar die sites gaan om het te proberen te kopiëren, en als ze dat lukt, dan blijft het niet bij “die paar sites”.
In het ergste geval lukt het om de code in een advertentie te verstoppen bij Google met alle gevolgen van dien.
Jammer dat Google dit probeert ten eigen gunste probeert te spinnen terwijl hun eigen software ook kwetsbaar was.
Helemaal mee eens

[Reactie gewijzigd door Goldwing1973 op 7 september 2019 09:46]

De schade groter, hoe dan? Omdat mensen voor de lol het dan gaan bezoeken pre 12 om hun device te laten infecteren, of hoe moet ik dat zien?

Als je weet welke sites het zijn, dan kan je 1) de sites vermijden, 2) weet je of je de site hebt bezocht en dus of je een mogelijk een aanzienlijk probleem hebt aangaande je data.

Ik zie geen voordelen in geheimhouding.
Wanneer is WhatsApp gehackt dan? :+

[Reactie gewijzigd door FireStarter op 6 september 2019 20:44]

Okee... Lekkere random vraag dit, kon dat niet per DM? :+ Voor hetgeen mijn aanmelding + nick hier tot stand zijn gekomen, was dat in 2011.
Wie vertrouw je meer? Google of Apple?

Geen van beiden.

Maar dat Google haar zero day als wapen gebruikt tegen andere bedrijven is al lang bekend. Apple heeft gelijk dat het oorspronkelijke bericht uiterst suggestief was. De indruk die de argeloze lezer had was dat het een hack was die langdurig bestond en van onbekende schaal.

In realiteit wist deze Google medewerker heel precies wie het doelwit waren, en dat het een kortdurende complexe aanval was. Men wist dus ook dat gewone iPhone gebruikers elders niet het slachtoffer waren.

Ook reageerde Apple heel snel op de meldingen, en maakte zelfs eenmaal binnen 7 dagen een fix, nadat Google dat naar eigen zeggen eiste.
1.) Dat vertragen vanwege de oude accu was briljant en gelukkig zit het nog steeds in iOS ingebakken, doch nu volledig in plaats van de tijdelijke fix. Hopelijk gaan veel meer fabrikanten zo'n feature inbouwen, bespaart een hoop gezeik en ik snap niet waarom het zo lang geduurd heeft voor er überhaupt een fabrikant kwam die dit is gaan doen. Als een jaar of 5-7 geleden HTC en Samsung zo'n feature hadden gehad, had dat me een hoop gezeik bespaard. De manier waarop Apple het geïntroduceerd had als tijdelijke patch voor problemen met de 6 was echter wel nogal stom, ja. De intentie was niet slecht, het was alleen volkomen achterlijk geregeld qua communicatie. (Non-existent.) Dat erkende Apple zelf ook, waarvoor ze hun excuses hebben aangeboden, reparatiekosten hebben terugbetaald indien gemaakt en batterijvervangingen spotgoedkoop hebben gemaakt. Misschien kijken we er anders tegenaan, maar is dat achterbaks...?

2.) Welk besturingssysteem werkt niet vanwege niet officiële apple onderdelen?

3.) Apple heeft aardig wat repair programma's open staan. https://support.apple.com/nl-nl/exchange_repair
Volgens mij is geen ervan pas naar aanleiding van een rechtszaak verleend. Mag ik vragen waar je op doelt? :)
Imho is geen van beiden te vertrouwen
Lekker hypocriet dan dat je effe voorbijgaat aan het feit dat Apple niet meewerkt met de FBI om iPhones te ontgrendelen.

Dat komt je dan weer niet goed uit natuurlijk.
In plaats van dat ze mijn argumenten proberen te weerleggen...
Eerst eens kijken naar je stelling dan, waar je argumenten voor aan zegt te dragen:
Apple is minder te vertrouwen dan google.
Hierin maak je een vergelijking tussen Apple en Google. Vervolgens geef je voorbeelden om te onderbouwen waarom Apple in jouw ogen achterbaks zou zijn.
Hoewel dat op zich valide argumenten kunnen zijn, geef je alleen argumenten m.b.t. Apple. Terwijl je stelling een vergelijking maakt tussen Apple en een andere partij.
Ik denk persoonlijk dat er ook genoeg voorbeelden zijn waaruit blijkt dat Google achterbaks kan zijn.
Hoe ga je dat dan quantificeren? Wanneer is de één achterbakser dan de ander? En wanneer kun je het ene bedrijf dan minder vertrouwen dan het ander?

In mijn ogen heb je daarmee je stelling niet onderbouwd. Je zou kunnen zeggen dat een stelling die wel onderbouwd hebt, is:
'Apple is niet te vertrouwen'

Maar dat is dus een andere stelling. Wellicht dat je daarom negatief gemodereerd wordt. Je poneert in mijn ogen namelijk een stelling die je niet onderbouwd. Dat kun je zien als flamebait, welke doorgaans met -1 wordt gewaardeerd.
Wat een zwam verhaal. Iemand verdedigt vrijwel altijd 1 kant van het spectrum. Dat gebeurt in de politiek, op het werk, overal.
Ook reageerde Apple heel snel op de meldingen, en maakte zelfs eenmaal binnen 7 dagen een fix, nadat Google dat naar eigen zeggen eiste.
Hoe weet je dat zeker? Werkt dat als "onbewezen dus is niet gebeurd"? We weten niet hoe de Chinezen aan deze kwetsbaarheden zijn zijn gekomen. De Chinese overheid kan die kwetsbaarheden prima van Zerodium of een andere vulnboer hebben gekocht. Als dat zo is, kun je er donder op zeggen dat het ook elders is misbruikt.
Hoe weet je dat zeker?

Hoe weet ik wat zeker? Je quote mijn stelling dat Apple snel reageerde. Dat staat in de oorspronkelijke blogpost van de Google medewerkers zelf. Men eiste bijvoorbeeld 7 dagen, en Apple fixte het binnen 7 dagen. Wellicht dat het zo simpel niet echt ging, maar dat is wat deze Google medewerker zelf beweerde O-)

Wellicht dat de kwetsbaarheid ook door anderen misbruikt was. Dat is goed mogelijk, maar dan wel in combinatie van anderen. Immers, de complexiteit en het knappe van deze hack was dat het een keten aan zaken vereiste om te slagen. Wellicht dat individuele aspecten in andere hacks gebruikt waren, maar deze ketens waren slechts beperkt mogelijk aldus Google's eigen timeline. En dat aspect werd bewust niet goed duidelijk gemaakt. Er werd gesuggereerd alsof het jarenlang continue mogelijk was. In realiteit was het een geavanceerde staatshacker die elke keer nieuwe exploit-ketens opzette, die elke keer maar kortdurend mogelijk waren.
Sorry, ik was niet nuchter. Heb niet goed gelezen.

Ik sluit de mogelijkheid dat China die prachtige, complexe kwetsbaarheden heeft gekocht niet uit. :)

Als je die theorie volgt..
De indruk die de argeloze lezer had was dat het een hack was die langdurig bestond en van onbekende schaal.
..dan is niet zo gek nog niet.
Timing. Dit soort stennis maken net op het moment dat de nieuwe iPhones worden uitgebracht is niet toevallig.
Maar vooral het feit dat apple nu achteraf opeens zegt dat ze al met een fix bezig waren voordat apple het bekend maakte geeft mij niet veel vertrouwen in apple eerlijk gezegd. Maargoed ondanks alles is het goed dat ze elkaar op deze manier scherp houden

[Reactie gewijzigd door sygys op 7 september 2019 09:51]

Makers van ecosystemen die elkaar beschuldigen van onveilig zijn.
Wanneer gaan we eens wakker worden?
Bugs blijven bestaan, en is een oneindige strijd. De grootste fout is wat mij betreft dat zowel Apple als Google beiden de leugen volhouden dat hun eigen besturingssysteem veilig is. Want dat is praktisch onmogelijk, met of zonder goede bedoelingen. Wat mij betreft is het dus geen kwestie van "wie vertrouw je meer".
Ach, hoe groot is nu eigenlijk de kans dat je ergens slachtoffer van wordt?

De zwakke factor is de mens, of die nou iOS of Android gebruikt. Denk aan zwakke wachtwoorden.

Verder is de kans dat je bankrekening leegeplukt wordt door een onveilig OS ongeveer nul.
NAC Breda is waarschijnlijk een veel betere voetbalclub dan Juventus, want bij NAC heeft de keeper het een stuk drukker.
Alleen in dit geval is er geen Google in China, wel Apple.
En achtervolging van bevolkingsgroepen is natuurlijk wel een dingetje.
Dus volgens apple is het geen gevaarlijk lek?
1 bezoek website
2 je verliest alle wachtwoorden die opgeslagen worden op je telefoon, van websites tot WiFi.
Sorry maar apple moet juist nu iedereen de wachtwoorden laten resetten van alles wat ze opgeslagen hebben.
Apple zegt niet dat het lek niet gevaarlijk is, maar dat Google doet alsof iedere iPhone-gebruiker nu gevaar loopt.

Advocaat van de duivel: als je gaat threatmodellen heeft natuurlijk het overgrote merendeel van de iPhone-bezitters hier geen last van omdat ze die sites toch niet per ongeluk bezoeken. Dan is er iets voor te zeggen dat iemand roept dat 'iedereen gevaar loopt'.
als je gaat threatmodellen heeft natuurlijk het overgrote merendeel van de iPhone-bezitters hier geen last van omdat ze die sites toch niet per ongeluk bezoeken
Dat is in de aanname dat "die sites" de enige waren.

Verder kunnen gecompromitteerde iPhones mogelijk nog steeds gecompromitteerd zijn, zelfs na een update die het lek dicht. Immers weten wij niet of het lek op andere manieren misbruikt is om een permanente aanwezigheid op het toestel veilig te stellen.
Dat eerste klopt wel ja, al is er tot nu toe nog geen bewijs van andere sites. En hetzelfde geldt voor het tweede, technisch gezien is het misschien mogelijk dat het lek ook persistent was, maar zover het nu bekend is verdwijnt het na een reboot.
En hetzelfde geldt voor het tweede, technisch gezien is het misschien mogelijk dat het lek ook persistent was, maar zover het nu bekend is verdwijnt het na een reboot.
Je verwart 'lek' (kwetsbaarheid) met 'payload'. Het lek was in niet gepatchte iOS versies nog beschikbaar na een reboot. De payload van de bekende hack die het lek misbruikte werd echter alleen in het geheugen geladen en was dus weg na een reboot. Het kan echter zijn dat het lek ook op andere manieren (mogelijk met een andere payload) misbruikt is, waar wij niet van weten. In dat geval kan een payload wel persistent geïnstalleerd zijn.

Waarschijnlijk was het niet mogelijk om een permanente payload te installeren omdat daarvoor een ander lek nodig was, maar zeker weten doen wij dit natuurlijk niet. Dat heb je met een gesloten ecosysteem waar een enkele organisatie controle over heeft. Wij weten niet wat de beperkingen van het gedichte lek zijn. :+

[Reactie gewijzigd door The Zep Man op 6 september 2019 22:04]

Ja klopt, excuus, je hebt gelijk! Maar, zou Google het niet gezien hebben als de payload persistent zou zijn? Vind het moeilijk voorstellen dat ze zó diep gaan met het onderzoek en dat dan niet zien... Zou kunnen natuurlijk maar het lijkt mij persoonlijk sterk.
Maar, zou Google het niet gezien hebben als de payload persistent zou zijn?
Google ziet alleen waar ze op gezocht hebben. Je kan nooit bewijzen dat iets niet bestaat. Het is onwaarschijnlijk, maar niet onmogelijk.
Hoewel ik begrijp wat je bedoelt en daar ook niets aan af wil doen, creëer je op zo'n manier een discussie die nooit stopt.
Je hebt misschien op dit moment 37 payloads op jouw toestel die godweetwat lopen te etteren. Maar je weet het niet (zeker), want er is nog niets over gepubliceerd of de erop losgelaten patch is niet waterdicht.
Verder kunnen gecompromitteerde iPhones mogelijk nog steeds gecompromitteerd zijn, zelfs na een update die het lek dicht
Het was geen permanente root dus na de herstart van de update was hij ook uit het geheugen.
Dat is mogelijk ja, maar laten we wel stellen dat deze malware zo extreem slecht in elkaar gezet was dat het echt extreem onwaarschijnlijk is. We moeten niet vergeten dat dit een duidelijk geval was van grote zak poen aan een partij die de exploit ontwikkeld heeft, en vervolgens slechte opsec ervaren developers gebruiken om er wat malware omheen te bouwen. Dezelfde software zou verschrikkelijk snel gedetecteerd zijn hier.
Die claim van Google dat t al jaren speelt moet toch makkelijk te bewijzen zijn lijkt me.
3. Het bleek niet alleen op Apple, maar ook op Windows en Android gericht.
4. De kans dat je als niet-Oeigoer een besmette site hebt bezocht, schijnt erg klein te zijn. (zegt men (nu))
jij denk echt dat zo'n simpel lek die grote gevolgen kan hebben alleen voor oeigoeren misbruikt zal worden door china? ik betwijfel dat ten zeerste.
Ik denk ‘t wel eigenlijk. Door enkel een zeer kleine groep te targetten kan je veel beter en langer onder de radar blijven vliegen dan een exploit aan een groot publiek te exposen... Dus meer kans op succes en meer infecties onder de groep die je wilt hebben.
denk het niet sinds het een kinder spel is van een lek dat je het wel voor veel belangrijkere dingen ook gat gebruiken.
Een zeer geavanceerde hack die meerdere kwetsbaarheden op briljante wijze aan elkaar naait om tot een werkende oplossing te komen wat waarschijnlijk miljoenen heeft gekost en maandenlang werk, en dat noem je kinderspel? o0 Woah.

Anyway: juist niet. Als je kijkt wat er nodig was om dit te laten functioneren, dan wil je voorkomen dat de fabrikant het gaat patchen. Hoe doe je dat? Door het niet los te laten op mega grote sites (krijg je ook allejezus veel data binnen, zal lang duren om te verwerken en eigenlijk wordt je dan gewoon geDDoS'ed dus waarschijnlijk komt het merendeel nooit aan ook.), maar enkel op een paar specifieke kleine websites waarmee je hoopt de juiste personen te raken.

Een nieuwe zero-day laat je ook niet in het wild los als je hem eigenlijk enkel wilt gebruiken om de CEO van bedrijf X te proberen te pakken te nemen. Gooi je het lukraak online dan is het zo in de malwaredatabases te vinden. Hou je het geheim tot je de payload kan afleveren bij de juiste persoon of juiste schakel in een ketting om bij die persoon te komen: dan heb je een veel grotere kans van slagen. Zeker als de exploit complex is, zoals hier het geval was.
Dat zei ik niet en bedoel ik ook niet.
Er zijn altijd slechte mensen met snode plannen, maar dit specifieke geval lijkt amper tot geen impact te hebben gehad.
maar wie zegt dat het een amper impact heeft en hebben ze bewijzen er van?
kijk het is simpel 1 heel groot gevaarlijk lek die heel simpel te misbruiken is wordt niet voor iets simpels gebruikt.. begrijp je me? open je watchtwoord manager en kijk eens rond zit daar niet iets tussen dat jij denk dat wil ik echt niet opstraat hebben?
en dan moet je nagaan wat als jij een heel belangrijk zakenman, ontwikkelaar, professor of president van een land bent.
wat heeft meer waarde voor china?
'Ze' hoeven niet te bewijzen dat er geen impact is, want iets dat er niet is kún je niet bewijzen.
Maar opletten of er gevolgen zijn, wie daar misbruik van maakt en wie er de dupe van worden; die plicht hebben 'ze' wel.
hoe is er geen impact met een simpel website bezoek kunnen ze je hacken hoe dan??? sorry probeer je nu alles te ontkennen dat er niks aan de hand is?
Hoe bewijs je impact, is wat ik bedoel. Dat de exploit bestaat, is erg. Absoluut heel erg.
Maar wie laat zijn geïnfecteerde toestel zien of zijn geplunderde rekening of misbruikte foto's of contactenlijst?
Je wéét niets over de eventuele impact als dit soort nieuws alleen bestaat uit A) er is iets en B) het is gepatcht.
dus wat jij zegt is al dat gezeur op beveiliging patches is onzin want de impact is niet te achterhalen?
daarbij het woord al misbruikt dus is er een impact simpel als dat..
kijk er valt een meteoor op aarde die 50% van de aarde bedekt..en omdat er geen cijfers kan het zijn dat er niemand dood gaat zeg jij dan...zo groot is die lek en ja je kan het blijven ontkennen natuurlijk en weg wuiven als of er niks aan de hand is...
tja ik begrijp het ook niet waarom jij het niet begrijpt :P er is een verschil tussen kans op 0% en 100%, en dan kom jij aan en maakt die 100% en 1%... fijn weekend
Het bedrijf zegt dat de ontdekte kwetsbaarheid slechts twee maanden actief was.
"Slechts". Zie ook het originele stuk:
Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies.
Twee maanden is geen 'brief period'. Het is misschien korter dan Google's implicatie, maar alsnog veels te lang. Voor een walled garden systeem dat iOS heeft had Apple dit veel eerder op moeten merken en oplossen.

Het toont aan dat ook Apple niet voldoende controle heeft over de beveiliging van diens producten, ongeacht hoe leuk ze het ook met marketingpraat verpakken en de fanboys het zullen wegwuiven.

Natuurlijk is geen enkel product "veilig", zelfs iPhones. Er moet gekeken worden naar wat "veilig genoeg" is voor het doel dat men probeert te bereiken. iPhones zijn kennelijk niet goed genoeg voor onderdrukte minderheden om zichzelf te beschermen tegen kwaadwillende overheden. Helaas is er geen beter alternatief.

[Reactie gewijzigd door The Zep Man op 6 september 2019 21:12]

Er staat netjes Die websites, kan best zijn dat China elke twee maanden of iets dergelijks andere websites er voor in richten, dus 2 jaar kan best misbruik gemaakt zijn, alleen blijkbaar niet door de websites die nu gevonden waren.
Apple wekt de suggestie alsof het minder erg is omdat het *maar* om Oeigoeren gaat ipv de gemiddelde westerling. Als je het onderstaande stukje leest over Oeigoeren in China, dan vind ik de reactie van Apple iets te bagatelliserend.
https://www.volkskrant.nl...inees-te-worden~b442f00d/
Naar schatting zo’n miljoen Oeigoeren, Kazachen en andere islamitische minderheden zitten vast in Chinese heropvoedingskampen.
[...]
China heeft het bestaan van de kampen onlangs toegegeven. Maar pas nadat tal van nieuwe omheinde gebouwen waren ontdekt op satellietbeelden en mensenrechtenorganisaties bewijzen hadden verspreid.
[...]
‘De Chinezen spreken van onderwijsinstellingen’, zegt Sauytbay. ‘Maar het zijn concentratiekampen.’
[...]
In de zanderige dorpen kom je meer Kazachen tegen die pas gearriveerd zijn uit China. Allemaal vertellen ze dat hun voorouders in de vorige eeuw naar China vluchtten toen de communisten van de Sovjet-Unie hun vaderland opslokten. Nu komt het gevaar van de Communistische Partij van China en hebben ze opnieuw de benen genomen, terug naar Kazachstan.
[...]
Bakitzjan Noerdaulej, de oude imam van het stoffige stadje Zjarkent, kwam aan in 2005, na een celstraf in China wegens het prediken van de islam. Met zijn familie en vrienden in China neemt hij geen meer contact op, uit angst dat zij dan worden gearresteerd – de Chinese veiligheidsdiensten monitoren alle communicatie.
[...]
Iedereen droeg er blauwe gevangenisuniformen en had kortgeschoren kapsels, vertelt ze. Bij de mannen moest de baard er ook af. De jongste leerling was een meisje van 13, de oudste een vrouw van 83.
[...]
‘De dagtaak was tweehonderd Chinese woorden uit je hoofd leren. Wie dat niet kon, kreeg ’s avonds geen eten.’

Soms werd de druk op zwakkere leerlingen nog verder opgevoerd. ‘Dan moesten ze van de cipiers rechtop staan en net zo lang Chinese woorden uitschreeuwen tot ze in elkaar zakten.’
[...]
Gedwongen injecties
Een paar keer tijdens het gesprek in haar woning in een steppedorpje excuseert ze zich voor haar vermoeide voorkomen. Komt door de injecties die ze tot enkele maanden geleden gedwongen toegediend kreeg in China, zegt ze. Een transparant goedje, ze weet niet wat het was – alleen dat je er zwak van wordt. Andere oud-gevangenen klagen er ook over.
[...]
Aoejelchan woonde al drie jaar in Kazachstan toen ze in juli 2017 naar China reisde om haar zieke vader te bezoeken. Op de grens confisqueerden Chinese douaniers haar paspoort en namen haar mee in een busje. ‘Ze zeiden dat ik vijftien dagen politiek zou gaan leren.’
Het werden vijftien maanden in drie verschillende heropvoedingskampen.
[...]
Drieëndertig mensen per slaapzaal. Vijf roterende camera’s. Twee cipiers. Geen bedden, maar beton. Geen toiletten, maar emmers.

Wie menselijke trekjes vertoonde, kreeg moeilijkheden. Met links schrijven was verboden. Jeuk wegkrabben zonder toestemming ook. Toen Aoejelchan een keer huilde omdat ze een Mandarijns woord niet goed kon uitspreken, werd ze zes uur vastgebonden aan een stoel, zegt ze. Voor het tonen van emoties. ‘Ze gooiden koud water in mijn gezicht om te voorkomen dat ik flauwviel.’
Het gaat dus om een onderdrukte,arme bevolkingsgroep. Ik denk dat deze Oeigoeren zich meer zorgen maken om de kwetsbaarheid op Android dan om de kwetsbaarheid op IOS.
Klopt toch? Een suggestie dat zowat elke iPhone gebruiker de lul was vs een hele kleine groep mensen, dan kan je daar wel een “het gaat om slechts x mensen” bij opmerken ja. Nu verdraai je het eigenlijk alsof Apple zegt “het waren maar oeigoeren dus lekker boeiend”, maar dat is niet waar. Het gaat puur om de schaal, niet de groep.
Als die groep kleine kinderen waren, dan zou er anders worden gereageerd. De kwetsbaarheid van een groep speelt naast schaal ook een rol in de ernst van een situatie, en in de wijze waarop je dat als bedrijf etisch dient te belichten. Er had ook kunnen staan, "de kinderen waren slechts 2 maanden blootgesteld i.p.v. de 2 jaar die Google beweert.". Met zo'n opmerking zullen veel mensen moeite hebben, maar dat staat er nu wel zo'n beetje voor de Oeigoeren (welke net als kinderen een zeer kwetsbare groep zijn).
Al hoewel Apple reageert op het bericht van Google, en je het bericht van Apple in de context van dat kan lezen, maken woorden als "fewer than", "only", "iOS security is unmatched" het etisch gezien niet echt netter op als je ze plaatst in de context van de slachtoffers, en juist daar dien je als bedrijf ook rekening mee te houden.
Ik vraag me uberhaupt of ze de slachtoffers hebben ingelicht. Met de actie van Google, is dit probleem in ieder geval belicht.
"Google en Apple hadden dit gedrag richting een etnische groepering door hun overheid moeten aanvallen in plaats van elkaar."

Leg uit aub, ik snap je niet.

( Of is er iets in je tekst misgegaan ? )
Google en Apple vallen nu elkaar aan. In plaats van dat te doen hadden ze 'het gedrag' moeten veroordelen van de genoemde overheid, volgens @NiGeLaToR.

[Reactie gewijzigd door The Zep Man op 6 september 2019 21:58]

Geld gaat vóór principes.
Ik denk dat apple beter weet wat de schade is dan google
Tuurlijk maar iets weten en wat je vervolgens naar buiten brengt zijn vaak twee verschillende dingen.
Die paniekzaaerij is natuurlijk 100% in het belang van Google.
Die paniekzaaierij voorkomen is 100% in het belang van Apple.

Zo kunnen we nog wel even doorgaan...
Het gene waar ik jarenlang mezelf aan dood heb geërgerd zijn de type Apple gebruikers die zich "beter" voelen dan "de rest".
En op moment dat dit soort nieuws bekend worden, kan ik het wel waarderen.
Maar niet alleen om ze soms ermee te pesten (de verleiding is te groot), maar vooral dat ze wakker worden dat het "een computer(tje)" is.
Net zoals alle computers op alle OS, kan het nooit 100% hackproof zijn.

Er is niks gevaarlijker dan een gebruiker die compleet verblind is door arrogantie.
Want dan neigt zo'n gebruiker slordiger om te gaan met z'n data, maar ook z'n eigen-privacy-beschermende houding gaat achteruit.

Desalniettemin, blijft het een zeer doordachte niet-opvallende tactische schaak-zet.

Maar hey! Wees blij.
Als concurrenten op de één of ander manier met elkaar bezig zijn, heeft de consument er baat bij.

:)
Dat jij denkt dat Apple gebruikers zich beter voelden dan de rest ligt toch echt aan jou hoor.

Volgend deze redenering kan je ook zeggen dat Android gebruikers doen alsof ze beter zijn dan Apple gebruikers omdat ze "goedkoper" zijn en "meer features" hebben. Wat is dan het verschil?

En je hebt ook gradaties in problemen, Apple kan wel dit soort exploits hebben maar Android heeft er veel meer.
Ehh.. goed lezen Dark_man.
Ik zei "de type Apple gebruikers".
Dat houdt dus in dat ik niet generaliseer maar refereer naar één specifieke doelgroep.
Aldus "de type ...gebruikers".

Op m'n werk hebben we verschillende klanten en collega's die rondlopen met IOS en MacOS apparaten.
Maar ze hebben een gewoon gebalanceerde beeld van hun devices.

Maargoed. Typische houding weer van fora's en chatboxen.
Als iemand een opmerking plaats, staat de rest in de rij om de opmerking tot zure perfectie te onderzoeken om een punt eruit te halen om te corrigeren.

*facepalm*
Ja lijkt me logisch dat ze er niet blij mee waren. Desondanks gewoon mooi dat het aan het licht gebracht is.
Google moet blij zijn met de macht die ze hebben ze hebben Windows Phone al uitgeschakeld als concurrent en dan precies bij de nieuwe iPhone uitnodigingen dit gaan roepen terwijl je eigen OS ook lek is. Waarschuwen is niet erg maar Google doet dat niet netjes en volwassen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True