Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple hekelt 'paniekzaaierij' van Google rondom onderzoek iPhone-hacks

Apple vindt dat Google onnodig paniek zaaide met de berichtgeving rondom de grote iPhone-hacks van een week geleden. Het bedrijf zegt dat de ontdekte kwetsbaarheid slechts twee maanden actief was. Apple erkent ook dat de aanval op Oeigoeren was gericht.

Dat schrijft Apple in een openbare brief. Het bedrijf reageert daarmee op Googles ontdekking van vorige week. Beveiligingsonderzoekers van het bedrijf maakten toen details bekend over kwetsbaarheden in besturingssysteem iOS die zouden zijn misbruikt om iPhones te infecteren met malware.

In een analyse zei Google dat de kwetsbaarheden al sinds september 2016 werden ingezet. Dat zou gebeuren op websites waarbij bezoekers direct geïnfecteerd werden als zij die bezochten. Apple ontkent dat het lek zo lang actief was. 'Alles wijst erop dat de websiteaanvallen een korte periode duurden, ruwweg twee maanden, in plaats van twee jaar zoals Google impliceert.' Het bedrijf zegt daarnaast dat de kwetsbaarheid tien dagen nadat het werd ontdekt is, gerepareerd. 'Toen Google bij ons aanklopte, werkten we al aan een fix', schrijft Apple.

Apple hekelt de manier waarop Google 'de valse indruk wekt' dat het lek op grote schaal werd uitgebuit. Google schreef in het onderzoek termen als 'mass exploitation', en schreef dat de aanvallen werden gebruikt om 'privéactiviteiten van complete bevolkingen in real time te volgen.' Apple ontkent dat en zegt dat iPhone-gebruikers niet persé getroffen zijn.

Apple erkent dat de website waarschijnlijk de Oeigoers-Chinese minderheidsgroepering volgde. Ook nadat Google het onderzoek publiceerde was niet duidelijk welke websites precies werden gebruikt voor de aanvallen, en voor welk doel dat was. Wel zeiden bronnen later tegen Forbes dat het zou gaan om Chinese aanvallen tegen Oeigoeren. Die worden in China al jaren opgejaagd en door de overheid in 'heropvoedingskampen' geplaatst. Apple wijst in de brief niet specifiek met de vinger naar China, maar zegt wel dat de aanval bestond uit 'minder dan een dozijn websites met content die aan de Oeigoerse gemeenschap is gerelateerd.'

Door Tijs Hofmans

Redacteur privacy & security

06-09-2019 • 20:14

225 Linkedin Google+

Submitter: xvilo

Reacties (225)

Wijzig sortering
In mijn ogen terecht dat Apple hier kritiek op Google/Alphabet heeft. Slechts een week de tijd geven en dan ook nog zo hoog van de toren te blazen zonder te melden dat o.a. ook het eigen besturingssysteem lek was....

Apple is absoluut geen heilige, maar ik neem hen wel wat serieuzer mbt dit soort dingen dan Google, wat er een handje van heeft om ontdekkingen te misvormen om concurrenten te beschadigen en eigen schade te verdoezelen.
In dit geval vertrouw ik in elk geval niet Google. Als die oprecht hadden gehandeld, zou het niet een week hebben geduurd voordat (met veel minder bombarie) bekend werd dat dezelfde exploit ook op Android en Windows gericht was.
Nou nee. Google neemt de concurrentie wel vaker op de ha(c)k met hun project Zero. Ze misbruiken het voor eigen gewin en ten nadele van anderen die in hun vaarwater zitten. Intel krijgt wel dik een half jaar de tijd voor 1 van de meest serieuze exploits in de geschiedenis van computing, kleinere partijen krijgen ook maanden de tijd. Zelf is Google ook niet te beroerd om ver voorbij hun "keiharde" 2 maanden limiet te gaan.

Maar een Apple of Microsoft, nope. Dan moet het zo hoog mogelijk van de toren geblazen worden.

Daarnaast, wie denkt Google dat ze zijn met hun gatenkaas Android, wat ze toch echt zelf veroorzaakt hebben en de schuld er van bij anderen in de schoenen schuiven.

Voor mij heeft Google met Project Zero ondertussen alle gelovigheid verloren. Nobel idee, maar erg jammer dat ze het zo misbruiken.
Dat is de afweging of je een trage smartphone wil op een modern OS (hardware trekt de software niet) of een OS dat bij de smartphone past, maar ook met de beveiliging van toen. Beiden is gewoon niet echt gewenst.

En wat hierboven al uitgelegd werd: het kan prima zijn dat je geen Android-updates meer krijgt (dus qua versie achterblijft), maar nog wel security-updates krijgt. Die lijstjes met hoeveel oudere Android-devices er zijn, zeggen dus niet zoveel.
Het gaat er niet om dat er android toestellen zijn met oude OS en af en toe een sec patch krijgen.
(het zou ook niet beste zijn als dat ook niet gebeurt)
Om terug te komen op iPhone 5S uit het jaar van Galaxy S4, waar de iPhone alle updates t/m nu meekrijgt en de Galaxy S4 niet. ook krijgt die geen Sec. patch meer. Galaxy S5 kreeg de laatste dacht ik in aug 2018.
Ik weet niet of het bij Android L ook al het geval was... het gebeurt nu wel iig. Dus het gebeurt wel degelijk.
(Verder boeit het me vrij weinig, als ik nu nog met een S4 liep zou ik sowieso huilen)
Dat is wel een goede onderbouwing. Je weet het niet, en huilt als je een ouder toestel hebt... waar gaat dit over ?
verder lees bovenstaand. als je iets niet weet, roep dan ook niet zomaar iets.
Het gaat er om dat je bij eerder aangegeven toestellen sneller risico loopt, en je dus eerder je toestel moet vervangen voor beter. (terwijl een Galaxy S5 nog voor velen prima is, en ook nog veel gebruikt wordt)

[Reactie gewijzigd door Hackus op 8 september 2019 10:53]

Dan zou de eventuele schade nog veel groter kunnen worden.
Als deze methode al echt sinds 2016 misbruikt is/kan worden dan betekend dat dus dat dit 4 iOS Major versions is, dus al vanaf iOS 8 tot 12.4.0
Dit betekent dat miljarden iOS apparaten die niet meer geüpdatet kunnen worden -want geen ondersteuning meer voor- vatbaar blijven, voor altijd.
Ik kan je gerust stellen, volgens statistieksite Statcounter zit wereldwijd ongeveer 85% van alle iOS toestellen minimaal op versie 12.1.4 waarin dit lek gedicht is. Omdat die versie op elke iPhone sinds de 5S uit 2013 is te gebruiken lijkt het niet onlogisch dat die overige 15% bestaat uit telefoons van voor 2014. Ik kan mij niet voorstellen dat die overige 15 procent er al miljarden zijn en dat die blind worden gebruikt voor gevoelige zaken.

Zelf draag ik aan die 15% bij door gebruik te maken van een paar prepaid 4S iPhones op systeem 9.3.6 om te navigeren, geotacken van foto's en om gewoon te bellen, te facetimen en te sms-en. Voor bankieren enzo gebruik ik een uptodate iPad, dus erg bang voor misbuik na een hack van mijn 4S-en ben ik ook niet echt...

Prima dat Google zulke kwetsbaarheden onderzoekt maar vervolgens de resultaten zo naar buiten brengen dat het maximaal je concurrenten schaadt laat toch een nare smaak achter.
1.) Dat vertragen vanwege de oude accu was briljant en gelukkig zit het nog steeds in iOS ingebakken, doch nu volledig in plaats van de tijdelijke fix. Hopelijk gaan veel meer fabrikanten zo'n feature inbouwen, bespaart een hoop gezeik en ik snap niet waarom het zo lang geduurd heeft voor er überhaupt een fabrikant kwam die dit is gaan doen. Als een jaar of 5-7 geleden HTC en Samsung zo'n feature hadden gehad, had dat me een hoop gezeik bespaard. De manier waarop Apple het geïntroduceerd had als tijdelijke patch voor problemen met de 6 was echter wel nogal stom, ja. De intentie was niet slecht, het was alleen volkomen achterlijk geregeld qua communicatie. (Non-existent.) Dat erkende Apple zelf ook, waarvoor ze hun excuses hebben aangeboden, reparatiekosten hebben terugbetaald indien gemaakt en batterijvervangingen spotgoedkoop hebben gemaakt. Misschien kijken we er anders tegenaan, maar is dat achterbaks...?

2.) Welk besturingssysteem werkt niet vanwege niet officiële apple onderdelen?

3.) Apple heeft aardig wat repair programma's open staan. https://support.apple.com/nl-nl/exchange_repair
Volgens mij is geen ervan pas naar aanleiding van een rechtszaak verleend. Mag ik vragen waar je op doelt? :)
als je gaat threatmodellen heeft natuurlijk het overgrote merendeel van de iPhone-bezitters hier geen last van omdat ze die sites toch niet per ongeluk bezoeken
Dat is in de aanname dat "die sites" de enige waren.

Verder kunnen gecompromitteerde iPhones mogelijk nog steeds gecompromitteerd zijn, zelfs na een update die het lek dicht. Immers weten wij niet of het lek op andere manieren misbruikt is om een permanente aanwezigheid op het toestel veilig te stellen.
Een zeer geavanceerde hack die meerdere kwetsbaarheden op briljante wijze aan elkaar naait om tot een werkende oplossing te komen wat waarschijnlijk miljoenen heeft gekost en maandenlang werk, en dat noem je kinderspel? o0 Woah.

Anyway: juist niet. Als je kijkt wat er nodig was om dit te laten functioneren, dan wil je voorkomen dat de fabrikant het gaat patchen. Hoe doe je dat? Door het niet los te laten op mega grote sites (krijg je ook allejezus veel data binnen, zal lang duren om te verwerken en eigenlijk wordt je dan gewoon geDDoS'ed dus waarschijnlijk komt het merendeel nooit aan ook.), maar enkel op een paar specifieke kleine websites waarmee je hoopt de juiste personen te raken.

Een nieuwe zero-day laat je ook niet in het wild los als je hem eigenlijk enkel wilt gebruiken om de CEO van bedrijf X te proberen te pakken te nemen. Gooi je het lukraak online dan is het zo in de malwaredatabases te vinden. Hou je het geheim tot je de payload kan afleveren bij de juiste persoon of juiste schakel in een ketting om bij die persoon te komen: dan heb je een veel grotere kans van slagen. Zeker als de exploit complex is, zoals hier het geval was.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True