Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple hekelt 'paniekzaaierij' van Google rondom onderzoek iPhone-hacks

Apple vindt dat Google onnodig paniek zaaide met de berichtgeving rondom de grote iPhone-hacks van een week geleden. Het bedrijf zegt dat de ontdekte kwetsbaarheid slechts twee maanden actief was. Apple erkent ook dat de aanval op Oeigoeren was gericht.

Dat schrijft Apple in een openbare brief. Het bedrijf reageert daarmee op Googles ontdekking van vorige week. Beveiligingsonderzoekers van het bedrijf maakten toen details bekend over kwetsbaarheden in besturingssysteem iOS die zouden zijn misbruikt om iPhones te infecteren met malware.

In een analyse zei Google dat de kwetsbaarheden al sinds september 2016 werden ingezet. Dat zou gebeuren op websites waarbij bezoekers direct geïnfecteerd werden als zij die bezochten. Apple ontkent dat het lek zo lang actief was. 'Alles wijst erop dat de websiteaanvallen een korte periode duurden, ruwweg twee maanden, in plaats van twee jaar zoals Google impliceert.' Het bedrijf zegt daarnaast dat de kwetsbaarheid tien dagen nadat het werd ontdekt is, gerepareerd. 'Toen Google bij ons aanklopte, werkten we al aan een fix', schrijft Apple.

Apple hekelt de manier waarop Google 'de valse indruk wekt' dat het lek op grote schaal werd uitgebuit. Google schreef in het onderzoek termen als 'mass exploitation', en schreef dat de aanvallen werden gebruikt om 'privéactiviteiten van complete bevolkingen in real time te volgen.' Apple ontkent dat en zegt dat iPhone-gebruikers niet persé getroffen zijn.

Apple erkent dat de website waarschijnlijk de Oeigoers-Chinese minderheidsgroepering volgde. Ook nadat Google het onderzoek publiceerde was niet duidelijk welke websites precies werden gebruikt voor de aanvallen, en voor welk doel dat was. Wel zeiden bronnen later tegen Forbes dat het zou gaan om Chinese aanvallen tegen Oeigoeren. Die worden in China al jaren opgejaagd en door de overheid in 'heropvoedingskampen' geplaatst. Apple wijst in de brief niet specifiek met de vinger naar China, maar zegt wel dat de aanval bestond uit 'minder dan een dozijn websites met content die aan de Oeigoerse gemeenschap is gerelateerd.'

Door Tijs Hofmans

Redacteur privacy & security

06-09-2019 • 20:14

225 Linkedin Google+

Submitter: xvilo

Reacties (225)

Wijzig sortering
Was het eigen besturings systeem dan net zo lek?

Daar heb ik niks over gehoord namelijk

Alleen 1 artikel dat windows en android ook "targets waren", maar niet dat je door een website te bezoeken gelijk toegang geeft tot je whatsapp texts etc.
Laatst kreeg een iphone 5 nog een patch voor ios 10.
Klopt helemaal. Maar dit was niet voor security updates, maar alleen voor een GPS fix.

iOS 10.3.4 was released on July 22, 2019 to address an issue that could impact GPS location performance and could cause the system date and time to be incorrect. It is available exclusively to the iPhone 5 and the cellular model of the iPad (4th generation).
"geupdate OS"

Ja, maar als updates en/of het OS dit soort hacks nog steeds niet voorkomt heb je daar mogelijk toch niet zo veel aan.
Ze maken het áltijd eerst bekend bij de partijen die het moeten fixen. Afhankelijk van hoe snel iets te fixen is of impact brengen ze het na 2 of 6 maanden in het nieuws. En zeker niet anders om.

Dit zet de leverancier iig onder druk om het zsm op te lossen, waar de consument dus weer voordeel van heeft.
"Google heeft Apple hierover ingelicht op 1 februari en een deadline gegeven van een week voor het uitbrengen van een patch. Dat resulteerde in de komst van iOS 12.1.4 op 7 februari dit jaar."

Een week of 2/6 maanden is nogal wat anders, toch? Daarnaast was Apple al 3 dagen bekend met het probleem toen Google het meldde.

"Het bedrijf zegt daarnaast dat de kwetsbaarheid tien dagen nadat het werd ontdekt is, gerepareerd. 'Toen Google bij ons aanklopte, werkten we al aan een fix', schrijft Apple."

Als je de berichtgeving moet geloven, vind ik dus ook dat Google hier alleen uit eigenbelang heeft gehandeld. Zeker gezien de kwetsbaarheid in hun eigen Android die daardoor veel minder groot in het nieuws kwam. Slim, dat wel.
Lees nou een keer, wat is er nou zo moeilijk aan te begrijpen dat het gat in iOS al actief misbruikt werd, en dat van Intel nog niet? Heeft u uberhaupt de reactie gelezen waar u op reageert, of waren die 7 regels gewoon te moeilijk?
Haha ik denk dat jij even moet kijken waar ik op reageer :+

Overigens lees ik je regeltjes wel, ben ik het er alleen helemaal niet mee eens. Google maakt het bij iOS alleen bekend om Apple te stangen. Of het al misbruikt wordt of niet staat er ver buiten, het is niet aan Google om het zo snel (binnen een week!) openbaar te maken.

[Reactie gewijzigd door Thomas18GT op 8 september 2019 16:54]

Correct, mijn excuses. Hoewel ik wel vind dat iets dat actief misbruikt wordt gewoon gelijk openbaar moet worden gemaakt; beter dat iedereen het weet dan alleen de misbruikers.

[Reactie gewijzigd door kidde op 9 september 2019 12:07]

Zodat het nog veel grootschaliger kan worden misbruikt? Dat klinkt echt als een heel goed plan...
Ik zal niet over bias beginnen, want ik vermoed dat die er (bijna) niet is.
Ik denk dat je eerder nieuws-sites / kranten moet gaan wantrouwen. Zij brengen dit soort nieuwsberichten op deze wijze naar buiten op basis van feiten die Google publiseerd.

Als een nieuwssite/krant een clickbait kan maken doen ze meteen een smeuïge 'krantenkop', nemen tegenwoordig niet de moeite om verder te kijken of het ook andere OS'en betrof/betreft. Vervolgens wordt door die zelfde media een zwarte piet toegespeeld richting de bron vermelder om zo hun handen te kunnen wassen in onschuld, want zij zijn slechts 'the messenger'.

Overigens smullen nieuwssites van dit soort situaties, want ook dit kan men weer uit zijn verband trekken en uitmelken tot nieuws.

Realiseer dat nieuwsberichten voornamelijk aan het opjutten zijn, totaal niet realistisch, maar puur om lezers te trekken. Men moet berichten meer met een korreltje zout nemen, en slechts de feiten eruit filteren. Dan blijken een hoop dingen gewoon wel mee te vallen.
Die exploit ging over webkit, wat niet gebruikt word op Android en Windows. Dus wat het ook was. Android en Windows waren niet net zo lek als iOS die zo lek was dat t amper vaarwaardig was
Alleen in dit geval is er geen Google in China, wel Apple.
En achtervolging van bevolkingsgroepen is natuurlijk wel een dingetje.
Dat is mogelijk ja, maar laten we wel stellen dat deze malware zo extreem slecht in elkaar gezet was dat het echt extreem onwaarschijnlijk is. We moeten niet vergeten dat dit een duidelijk geval was van grote zak poen aan een partij die de exploit ontwikkeld heeft, en vervolgens slechte opsec ervaren developers gebruiken om er wat malware omheen te bouwen. Dezelfde software zou verschrikkelijk snel gedetecteerd zijn hier.
dus wat jij zegt is al dat gezeur op beveiliging patches is onzin want de impact is niet te achterhalen?
daarbij het woord al misbruikt dus is er een impact simpel als dat..
kijk er valt een meteoor op aarde die 50% van de aarde bedekt..en omdat er geen cijfers kan het zijn dat er niemand dood gaat zeg jij dan...zo groot is die lek en ja je kan het blijven ontkennen natuurlijk en weg wuiven als of er niks aan de hand is...
tja ik begrijp het ook niet waarom jij het niet begrijpt :P er is een verschil tussen kans op 0% en 100%, en dan kom jij aan en maakt die 100% en 1%... fijn weekend
Als die groep kleine kinderen waren, dan zou er anders worden gereageerd. De kwetsbaarheid van een groep speelt naast schaal ook een rol in de ernst van een situatie, en in de wijze waarop je dat als bedrijf etisch dient te belichten. Er had ook kunnen staan, "de kinderen waren slechts 2 maanden blootgesteld i.p.v. de 2 jaar die Google beweert.". Met zo'n opmerking zullen veel mensen moeite hebben, maar dat staat er nu wel zo'n beetje voor de Oeigoeren (welke net als kinderen een zeer kwetsbare groep zijn).
Al hoewel Apple reageert op het bericht van Google, en je het bericht van Apple in de context van dat kan lezen, maken woorden als "fewer than", "only", "iOS security is unmatched" het etisch gezien niet echt netter op als je ze plaatst in de context van de slachtoffers, en juist daar dien je als bedrijf ook rekening mee te houden.
Ik vraag me uberhaupt of ze de slachtoffers hebben ingelicht. Met de actie van Google, is dit probleem in ieder geval belicht.
Ehh.. goed lezen Dark_man.
Ik zei "de type Apple gebruikers".
Dat houdt dus in dat ik niet generaliseer maar refereer naar één specifieke doelgroep.
Aldus "de type ...gebruikers".

Op m'n werk hebben we verschillende klanten en collega's die rondlopen met IOS en MacOS apparaten.
Maar ze hebben een gewoon gebalanceerde beeld van hun devices.

Maargoed. Typische houding weer van fora's en chatboxen.
Als iemand een opmerking plaats, staat de rest in de rij om de opmerking tot zure perfectie te onderzoeken om een punt eruit te halen om te corrigeren.

*facepalm*


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True