'Apple koos ervoor users met Xcode-infectie niet te informeren via e-mail'

Apple overwoog in 2015 om alle gebruikers die getroffen waren door de Xcode-malware daarvan op de hoogte te stellen, maar lijkt dat uiteindelijk niet gedaan te hebben. Dat Apple het overwoog, blijkt uit rechtbankdocumenten in de zaak Epic versus Apple.

De rechtbankstukken zijn e-mails tussen verschillende Apple-medewerkers. In dat gesprek wordt overwogen om alle Xcode-slachtoffers, in totaal 128 miljoen gebruikers wereldwijd, op de hoogte te stellen via e-mail. Dit werd niet onmiddellijk gedaan omdat het bericht in veel verschillende talen geschreven zou moeten worden, omdat het systeem om automatisch te vermelden om welke apps het per gebruiker gaat, niet vlekkeloos werkte, en omdat 128 miljoen e-mails versturen ongeveer een week zou duren.

Xcodeghost gesprek Apple — Beeld: rechtszaak Apple v. Epic via Ars Technica

Een Apple-bron van Ars Technica stelt dat zij geen bewijs konden vinden dat die e-mails ooit de deur uit zijn gegaan. De getroffen gebruikers zijn vermoedelijk dus nooit direct gecontacteerd, terwijl dat wel had gekund.

Er is alleen een inmiddels verwijderde post op de Apple-website geplaatst. Die is in het Engels en Chinees; veel van de getroffen apps waren populair in China. De iPhone-maker heeft alleen de 25 meest populaire getroffen apps genoemd, want 'na nummer 25 worden de apps significant minder populair'. Ondanks dat is de consensus onder beveiligingsbedrijven dat het aantal geïnfecteerde apps in de 'vier cijfers' loopt. Gebruikers moesten de apps zelf updaten of verwijderen.

De Xcode-malware zat verstopt in een malafide versie van de Xcode-ide. Die was te halen bij de downloaddienst van Baidu. Dat deden veel Chinese ontwikkelaars omdat de download daar veel sneller zou gaan dan van de servers van Apple. Waarschuwingen over een gebrek aan digitale ondertekening, negeerden ze. De malafide ontwikkelsoftware smokkelde malafide code in de apps waaraan gewerkt werd.

Die apps, voor zaken als instant messaging, internetbankieren, handelen in aandelen, navigatie en gaming, onderschepten systeeminformatie als de taalinstelling, naam en uuid van iPhones en iPads en het netwerktype. De gegevens werden via command-&-control-servers van de criminelen verstuurd. Vervolgens konden de kwaadwillenden notificaties naar smartphones en tablets sturen om gebruikersgegevens te stelen, url's te kapen en het clipboard van de gebruikers uit te lezen. Apple zei destijds dat het 'geen informatie heeft om te suggereren dat de malware is gebruikt om iets kwaadaardigs te doen'.

Reacties (131)

oscar oscar 9 mei 2021 15:50

Dit heeft toch helemaal niets met Apple te maken?

De Xcode-malware zat verstopt in een malafide versie van de Xcode-ide. Die was te halen bij de downloaddienst van Baidu. Dat deden veel Chinese ontwikkelaars omdat de download daar veel sneller zou gaan dan van de servers van Apple. Waarschuwingen over een gebrek aan digitale ondertekening, negeerden ze. De malafide ontwikkelsoftware smokkelde malafide code in de apps waaraan gewerkt werd.

Een 3de partij veranderde hun software, stelt deze ter beschikking ter download en gebruikers van die software negeren bewust een aantal red flags.

De software is helemaal niet rechtstreeks van Apple gekomen of gedownload. Je kan ze veel verwijten, maar hier heeft Apple echt niets mee te maken. Ik denk dat ze al ver genoeg gegaan zijn indertijd met een bericht in het Engels en Chinees te plaatsen over malafide software op een andere site die neit van hen is.

SuperDre @oscar oscar • 9 mei 2021 16:45

Het feit dat de apps wel in de store hebben kunnen komen geeft wel aan hoe slecht hun controle proces is, terwijl ze als 1 van de punten voor oa het percentage juist de kosten van die controle is. Maar het is lang niet de eerste keer dat zoiets gebeurd, naast dat het regelmatig voorkomt dat een app wordt goedgekeurd, maar enkele weken/maanden later alsnog verwijderd wordt, vaak zonder reden van opgaaf.

goarilla @SuperDre • 10 mei 2021 15:12

Absoluut, maar ... sommige van die apps waren zo high profile (angry birds 2 bv.) dat ze de developers liever tijd gaven om met propere versies te komen althans volgens Apple zelf (https://9to5mac.com/2015/09/24/apps-infected-by-xcodeghost/). Ook leek de impact en wat de malware deed niet zo invasief als we denken (geen private data access) en gaat het over de Chinese App Store - waar ze wellicht zowiezo al wat lakser moeten zijn om de PRC tevreden te houden.

curumir @SuperDre • 10 mei 2021 11:19

Sinds wanneer is het missen van een probleem een teken dat de gehele controle slecht is. Gooi de grenzen voor alle drugs en exotische dieren open want die komen toch wel binnen, op kanker scannen heeft geen zin meer want ze missen het ook wel eens.

Het is normaal dat er fouten zitten in processen en dat je die tegenkomt en verbetert. Het grootste kritiekpunt in dit verhaal is de manier waarop Apple reageerde maar om daar het hele argument van de veiligere app-store mee onderuit te halen... Lijkt me juist dat als Apple al moeite heeft met hun eigen store, de vele anderen juist voor nog meer problemen gaan zorgen.

GoBieN-Be @oscar oscar • 9 mei 2021 19:32

Gebruikers negeren de red flags niet, dat waren de ontwikkelaars. En Apple controleert alles in de Appstore op veiligheid zeggen ze, daarmee rechtvaardigen ze ook die 30%. Daarom dat het, denk ik, hier in deze rechtzaak besproken wordt.

HakanX @oscar oscar • 9 mei 2021 16:13

De apps komen uiteindelijk wel in de Apple Store terecht, waarvan Apple de veiligheid garandeerd en geen andere App stores toestaat op zijn toestellen, omdat dan volgens hun de veiligheid aangetast wordt.

Dat is dan ook het punt hier. Heeft Apple gelijk in zijn beweringen en hoe hebben ze gehandeld toen die veiligheid niet meer op orde was? Mijn persoonlijke mening is dat ze niet voor de veiligheid van hun gebruikers hebben gekozen en iedereen op de hoogte hebben gesteld (hoeft niet perse via mail binnen hun eigen ecosysteem), maar hebben gekozen om gebruikers niet bang te maken en eventueel laten zitten met onveilige apps. PR boven veiligheid.

Dit kan invloed hebben op zaken waar Apple verplicht wilt worden om downloadwinkels van derden toe te staan.

[Reactie gewijzigd door HakanX op 27 juli 2024 06:10]

Darkstriker @HakanX • 9 mei 2021 16:39

Ik denk dat het legaal niet een garantie op veiligheid is. Meer een soort reasonable effort belofte. Dat veel mensen geloven dat ze met iPhones veilig zijn voor malware is daar natuurlijk het gevolg van, maar ik ben vrij zeker dat Apple nergens een garantie geeft dat er geen malware in de appstore komt.

WhatsappHack

Apple
Networking en security
Smartphones

@Darkstriker • 9 mei 2021 17:00

Sterker nog, als ze een voorbeeld van 2015 nodig hebben is het vrij makkelijk claimen “we zijn niet perfect, maar hebben er wel van geleerd; daarom is het sindsdien en nu 6 jaar later op die schaal niet meer voorgekomen dankzij onze policies”. ALS dit het enige voorbeeld is, dan komt dat al heel snel weg te zetten als “grasping at straws”. Blijkt dat het stelselmatig voorkomt (en dan hebben we ‘t niet over “een app”, ook Apple kan geen 100% veiligheid behalen en dat is onredelijk om te eisen) dan wordt het opeens mogelijk een lastiger verhaal voor Apple.

Blijft een interessante zaak

[Reactie gewijzigd door WhatsappHack op 27 juli 2024 06:10]

Immanent Ike @WhatsappHack • 9 mei 2021 17:22

Wat het laat zien is dat (1) er lange tijd kwetsbare apps in de App store stonden en (2) dat Apple hier geen melding van heeft gemaakt aan de gebruikers en (3) dat door dit nalaten de kwetsbaarheden langer misbruikt konden worden door kwaadwillenden.

Dit zorgt ervoor dat hun argument dat Apple de veiligheid niet in het geding willen laten komen minder sterk, want het is kennelijk niet hun eerste prioriteit. Als Apple steken laat vallen waarom zou een concurrent dan geen veiligere store op kunnen zetten?

curumir @Immanent Ike • 10 mei 2021 10:53

Omdat het een keer fout ging jaren geleden is het geen prioriteit bij Apple en mag het niet gebruikt worden om te beargumenteren dat het toelaten van concurrerende stores slecht is voor de veiligheid van iOS? Dat is wel heel erg kort door de bocht vind ik. Het is toch gewoon na te gaan bij Android dat de onbekendere Appstores meer kans hebben om besmette apps te bevatten?

Bedenk ook dat, Volgens dit artikel: "De Xcode-malware zat verstopt in een malafide versie van de Xcode-ide. Die was te halen bij de downloaddienst van Baidu." De bron van het probleem zat 'm dus in het downloaden van een andere bron dan Apple.

Immanent Ike @curumir • 10 mei 2021 12:31

Je kan echter niet bewijzen dat een andere app store minder veilig zou zijn. Apple kan alleen zeggen dat veiligheid een prioriteit voor hun is, en dat dit een belangrijke rol speelt in de overwegingen van hun klanten. Maar als nu blijkt dat voor Apple de reputatie veilig te zijn belangrijker is dan de daadwerkelijke veiligheid waarborgen dan roept dat de vraag op of ze andere app stores willen weigeren vanwege de veiligheid of toch vanwege de reputatie. De rechter zal potentiele reputatieschade een stuk minder zwaar wegen dan argumenten die over de veiligheid zelf gaan.

curumir @Immanent Ike • 10 mei 2021 13:51

Ik kan niet bewijzen dat een specifieke App Store minder veilig is, ik durf wel te zeggen dat bij vrijgeven van de Appstore, er veel Appstores zullen zijn die minder veilig zullen zijn.
Het gaat ook wel erg ver te stellen dat dit incident bewijst dat voor Apple veiligheid alleen een reputatieding is. Feit is gewoon dat Apple veel werk maakt van veiligheid, nog steeds kwetsbaar maar dat is onvermijdelijk.

Immanent Ike @curumir • 10 mei 2021 16:10

Uiteraard is niets 100% veilig, maar daarom is het zaak dat als er kwetsbaarheden zijn deze zo snel mogelijk gemeld worden aan gebruikers. Dat heeft Apple nagelaten. Waarom ze dat hebben gedaan is niet duidelijk, maar het heeft er alle schijn van dat het gedaan is om de reputatieschade van Apple te waarborgen.

curumir @Immanent Ike • 11 mei 2021 08:45

Om dezelfde reden dat Epic een hele strategie klaar had liggen om Apple het vuur aan de schenen te leggen. Van idee, tot de confrontatie om de fortnite versie die geweigerd is, het 1984 spoof filmpje dat al klaar stond, tot deze rechtszaak toe is alles van te voren bedacht om zo veel mogelijk het publiek aan hun kant te krijgen. Uit e-mails van de rechtszaak blijkt dat ze zich zorgen maakten over het image van deze stap. Dit leek hun de beste manier om Apple als de boosdoener af te schilderen.

WhatsappHack

Apple
Networking en security
Smartphones

@Immanent Ike • 9 mei 2021 18:44

Voor 1 klopt, maar nogmaals: 6 jaar geleden. Als dat het enige is dat men aan kan halen terwijl alles sindsdien is aangescherpt, dan… Naja, dat heb ik al toegelicht wat er dan kan gebeuren.

Het ging mij er niet om dát er een fout is gemaakt, dat staat buiten kijf. Waar het mij om ging is 1.) hoe lang geleden dit speelde, 2.) hoe t sindsdien zit, 3.) hoe frequent zoiets (op schaal, niet verwaarloosbaar geleuter in de marge) dit gebeurt. Met één incident 6 jaar geleden ga je geen rechter overtuigen (sowieso bijna niemand eigenlijk).

[Reactie gewijzigd door WhatsappHack op 27 juli 2024 06:10]

Groningerkoek @Immanent Ike • 9 mei 2021 18:52

Edit: gereageerd op verkeerde post.

[Reactie gewijzigd door Groningerkoek op 27 juli 2024 06:10]

Chris_147 @Immanent Ike • 9 mei 2021 18:05

Mijn gedacht.
Velen hier denken dat een andere store enkel op prijs kan concurreren, maar waarom niet op veiligheid, gebruiksgemak, openheid naar ontwikkelaars,...
Als er geen vrije markt is, zullen we het nooit weten.

curumir @Chris_147 • 10 mei 2021 10:45

Dat zullen we nooit weten? Je bedoelt te zeggen dat alle vage Android app-stores zijn allemaal net zo veilig als die van Apple en Google? En op de pc was/is de illegale gratis download natuurlijk ook niet de grootste bron van malware.

App-stores als Apple, Steam en eigenlijk ook de manier waarop de consoles werken is juist een grote boost geweest voor (game) ontwikkelaars van groot tot klein. Een veilige, moeilijk te kraken manier om je werk te verkopen is juist stimulerend voor de (kleine) ontwikkelaar.

Het grootste probleem is censuur, wat er inhoudelijk wel of niet in mag, en dat is niet waar Epic op gaat verbeteren. Zij zijn ook een groot Amerikaans bedrijf enj willen gewoon meer geld overhouden aan Fortnite...

Chris_147 @curumir • 10 mei 2021 11:19

Ik snap niet goed wat je wil zeggen.
In je eerste paragraaf probeer je te zeggen (denk ik) dat 3rd party stores niet veilig zijn.

Je bewijst net mijn punt in je tweede paragraaf: Steam is niet van Microsoft, is dus een 3rd party store, die gebruiksvriendelijk is en veilig is. Had Steam kunnen bestaan als Microsoft eerst een app store had gemaakt en geen andere had toegelaten? Neen.
Waarom vinden we het op Windows geen probleem dat er andere stores zijn, maar wel op Apple systemen?

curumir @Chris_147 • 10 mei 2021 11:31

Wat ik bedoel te zeggen is dat er genoeg parallellen in de Android en Windows wereld zijn waaruit blijkt dat de vrije markt van stores zeker voor meer onveilige apps gaat zorgen.

Het punt is ook niet dat er één goede andere store zou zijn, dat zou geen vrijgeven zijn. Dat er een goede store zou kunnen ontstaan betekent niet dat er geen groot aantal bagger-stores gaan komen die doordat ze op winst concurreren voor een grotere onveiligheid gaan zorgen op het systeem.

We vinden het op Windows en MacOs wel een probleem omdat je het strikter maakt, concurrerende winkels worden gedwongen te sluiten. We vinden het geen probleem op XboX, PS en Nintendo omdat er daar geen verwachting is dat je kunt concurreren op store-niveau. Android en iOS vondt bijna niemand het een probleem totdat Epic dollartekens zag.
Dat is ook meteen het probleem van even kijken of het mis gaat, er is geen weg terug. Zodra Epic (en anderen) groen licht krijgen, lijkt het me onmogelijk om deze na een paar jaar weer te sluiten omdat het toch onveiliger bleek.

Chris_147 @curumir • 10 mei 2021 11:49

Vind ik zeer zwakke argumenten om dan maar geen stores toe te laten.

1) Ik vind het zeer zeker WEL een groot probleem dat er geen andere stores zijn voor Xbox, PS en Nintendo. Microsoft wil nu slechts 12% in de Windows Store, maar niet op Xbox. Waarom? Omdat ze geen concurrentie hebben op XBox.

2) Omdat er bagger stores zouden kunnen komen. Dus? Omdat er iets fout zou kunnen gaan, gaan we maar niets doen? Wat is dat voor een houding. Niet dat de Apple Store zo super veilig is en Apple zo openhartig over problemen. Ik ken weinig andere bedrijven die telkens zo geheimzinnig blijven doen over problemen.

3) Een andere store kiezen is nog steeds een keuze van de gebruiker. Deze wordt hem/haar niet opgelegd, maar kan zij/hij kiezen. In Android moet je zelf een setting wijzigen om een andere store te hebben. Op Windows moet je zelf Steam, Epic, ... installeren. Overal kan dit, maar de Apple gebruikers zouden dit niet aankunnen? Onzin.
Als je denk dat die andere stores bagger worden, dan installeer jij die toch niet! Maar waarom vind jij dat ik geen keuze mag hebben? Wat verlies jij met een 3rd party store?

curumir @Chris_147 • 10 mei 2021 14:18

Als er meerdere stores komen verschraalt het aanbod. Epic zelf is nu al bezig met exclusives voor PC en pompt gigantische bedragen in hun pc-store om de grootste te worden. Nu heb je een store waar alles zit. Wil je dezelfde toestanden als bij Netflix/Amazon/HBO/..?
Dus een Epic store, Disney store, Origin en Steam Store. En natuurlijk als een aparte store kan, kan een eigen betaalmiddel ook! Daar gaan Spotify, Netflix, Amazon, Google, HBO, etc. Iedereen die nu significant afdraagt naar Apple is gebaat bij een eigen store of betaalmogelijkheid.

Waarom denk je dat de iOS App Store zoveel beter loopt dan die van Android?

1) ik zeg niet dat niemand het een probleem vind, ik heb wel het idee dat weinig mensen zich daar over druk maken.
2) Je linkt naar een artikel dat gaat over het onderwerp van dit artikel? En hebt het dan over 'telkens'. Daarbij: niet 'zouden komen', die gaan komen. Erg naïef als je denkt dat dat niet gaat gebeuren...
3) Als je een iPhone koopt weet je dat je één App Store hebt. Waarom vind jij dat je mijn keuze voor een gecontroleerd ecosysteem kunt afschieten? Koop dan lekker Android als je die filosofie zo verschrikkelijk vind.

Voor de helderheid, ik vind het goed dat Apple onder druk blijft staan. De verandering van 30 naar 15% voor kleine devs, betere en duidelijkere richtlijnen voor de App Store, en in lijn met dit artikel, betere detectie van malware: allemaal erg goede ontwikkelingen.

goarilla @WhatsappHack • 10 mei 2021 15:15

Blijft een interessante zaak

Absoluut en wellicht de eerste van velen. Die digitale distributiewinkels zijn toch niet zo kosher als we wel zouden willen en de casino-praktijken mogen wellicht ook eens aangepakt worden.

SwaggyEggs @WhatsappHack • 10 mei 2021 01:13

Punt dat gemaakt wordt is dat Apple veiligheidsissues dus verzwijgt.

lappro @Darkstriker • 9 mei 2021 17:13

Behalve dat ze hier bewezen hebben geen reasonable effort er in te steken.
Stel dat ze niet wisten dat dit probleem er was, of niet wisten wie er slachtoffer waren, dan was er een punt dat ze enkel ergens een post hadden gezet. Maar ze wisten wie er getroffen waren en hebben er voor gekozen geen effort er in te steken.

Niemand kan natuurlijk garanderen dat ergens geen malware voorkomt, maar als je het tegenkomt hoe je dan handelt bepaald veel. Apple kiest er blijkbaar soms voor niet te handelen vanuit PR overwegingen.

init6 @j1b2c3 • 10 mei 2021 01:38

Het gaat hier niet om iets wat ze niet ontdekt hebben, maar dat iets ontdekt is bij een enorme userbase en ze moedwillig niet ingegrepen hebben.

HakanX @init6 • 10 mei 2021 02:10

Precies wat init6 zegt @j1b2c3, je hoeft het niet zo als een aanval op te vatten en zo grof te reageren terwijl we gewoon feiten bespreken en onze persoonlijke kijk op die feiten.

Het punt is niet dát het gebeurd (niemand verwacht perfectie), maar hoe ermee wordt omgegaan áls het gebeurd. Daar heeft Apple steken laten vallen dat niet past bij hun uitingen. Verder kan het me weinig boeien als niet-Apple gebruiker hoeveel downloadwinkels ze hebben. Het is gewoon interessante materie. Volgens mij had niemand van deze rechtzaak verwacht dat er zoveel naar boven zou komen van verschillende bedrijven. Ik smul er in ieder geval van. Het kijkje intern bij de grootmachten is gewoon leuk.

j1b2c3 @HakanX • 10 mei 2021 03:20

In perspectief wat als Apple en Google geen stores zouden hebben? Op pc heb je dat elke fabrikant eist dat je hun store gebruikt...
Of zo als in China. Waar je tientallen dubieuze online app stores doet hebben. . .en daar ben je op aangewezen omdat er geen Google playstore is. Security... Is ver te zoeken in China.

Ik denk dat niemand op het alternatief zit te wachten.

HakanX @j1b2c3 • 10 mei 2021 03:32

Keuze. Ik vind dat zowel Apple als Google het heel goed hebben gedaan met hun stores, moet niet denken aan de manier van apps zoeken ten tijde van Windows Mobile. Maar als gebruikers bewust andere stores willen, moet dat prima kunnen. Mijn voorkeur zou gaan naar de Linux manier met repositories toevoegen en niet onnodig extra achtergrond services laten draaien. Dubieuze repo's zullen vrij snel door de mand vallen. Bedrijven hoeven niet voor mij te beslissen wat voor eventueel controversiele app ik op mijn telefoon wil hebben en ik wil niks te maken hebben met Amerikaanse wetten en politiek over wat wel of niet mag op mijn telefoon.

j1b2c3 @HakanX • 10 mei 2021 03:47

Maar wie gaat het controleren? de software in de repositories? En hoe moet er een verdien model gecreëerd worden?
Bij apple en Google hebben ze software en mensen die er boven opzitten om dat het een succesvolle business case is.. Ik denk niet dat het beter is meer keuzes. Want marktwerking heb je niet bij 2 of 3 spelers op de markt. En devs zijn vaak luie mensen. Die hebben echt geen zin in hun software op 10-20 stores bij te houden. Dat is er android er zijn stores genoeg geweest in het verleden op Android in het westen amazon Samsung en iedereen vertikte die te gebruiken. Windows phone ook een goed voorbeeld geen devs wilde daar voor uitrollen. Terwijl het een redelijk goed platform was. Maar klein.

Jan-E @j1b2c3 • 10 mei 2021 07:32

Wie gaat het controleren als je op macOS buiten de store om apps installeert? De gebruiker moet daar wel een algemene toestemming voor geven en dan nog 1 voor elke app afzonderlijk, maar het is wel mogelijk om apps buiten de app store te installeren.

curumir @Jan-E • 10 mei 2021 10:59

Dit is niet wat Epic wil, Epic wil concurrerende app-stores (in ieder geval van hen). Hoe ga je dat managen als je Apple bent. En sterker, hoe wil je dat eerlijk houden qua concurrentie als Epic al laat zien dat ze 300 miljoen of meer willen investeren om anderen uit de markt te concurreren. Lekkere vrije markt is dat...

Groningerkoek @oscar oscar • 9 mei 2021 16:01

De malafide Xcode werdt gebruikt om apps die in de app store werden geplaatst te infecteren. Waarna gebruikers dus malafide software via de app-store verkregen.

In hoeverre dit relevant is voor gerechtszaak staat open ter discussie, maar Apple was destijds wel degelijk partij in deze hack.

dasiro @Groningerkoek • 9 mei 2021 16:29

tot zover hun "walled garden" waar ze telkens weer op hameren als het om veiligheid gaat. In dat oogpunt is het ENORM belangrijk in deze zaak, omdat dus blijkt dat ze hun klanten willens en wetens met geïnfecteerde software hebben laten zitten die nota bene dus via hun eigen downloadwinkel verspreid is, een argument dat ze graag gebruiken om elke alternatieve installatiemethode (laat staan distributieplatform of verdienmodel) pertinent weigeren en bestrijden.

Groningerkoek @dasiro • 9 mei 2021 17:09

Dat mensen niet persoonlijk zijn benaderd wil niet zeggen dat er niet ruimschoots aandacht aan is gegeven.

Daarnaast heeft Apple nooit beweerd dat hun store 100% veilig is, maar geven ze aan dat het veiliger is dan het vrijgeven waarbij het nog maar af te wachten is hoeveel controle andere stores uitoefenen. 100% veilig is niet mogelijk, het dichtste kom je er nog bij in de buurt als je eigen personeel elke regel code in elke app en update naloopt. Maar dat is ondoenlijk.

k995 @Groningerkoek • 9 mei 2021 18:19

Onzin, men heeft nooit een lijst van geïnfecteerde apps naar buiten gebracht je wist dus niet of je daarmee zat of niet en sommige zullen die dus veel langer dan nodig op hun smartphone hebben staan met alle gevolgen van dien.

Groningerkoek @k995 • 9 mei 2021 18:54

De servers waarmee de malafide apps contact zochten waren al zeer snel platgelegd waardoor de malware werd geneutraliseerd. Qua veiligheid/preventie was er dus geen/weinig belang bij het zo snel mogelijk en persoonlijk contacteren van alle gebruikers. Tevens zou het lang geduurd hebben om alle apps in de App Store te controleren.

[Reactie gewijzigd door Groningerkoek op 27 juli 2024 06:10]

k995 @Groningerkoek • 9 mei 2021 18:59

Echter is dat hun argument qua veiligheid, je kan dan nu niet afkomen dat veiligheid teveel werk is.

Groningerkoek @k995 • 9 mei 2021 19:44

Huh? Waarom zouden ze nu niet met een veiligheidsargument kunnen komen? Tevens garandeert Apple helemaal geen veiligheid men stelt alleen maar dat 1 centrale gecontroleerde store veiliger is dan een situatie met meerdere stores waarbij het nog maar afwachten is wat voor controle er plaatsvindt. Lijkt mij dat de situatie met Android hun gelijk bewijst.

Dit was in 2015, en men heeft destijds maatregelen genomen zodat developers hun xcode versie kunnen valideren, en men heeft servers voor xcode in China neergezet zodat men ook rechtstreeks van de bron snel kan downloaden zodat er geen behoefte meer is om xcode uit andere bronnen te halen.

dasiro @Groningerkoek • 9 mei 2021 21:42

mensen zijn verantwoordelijk voor hun toestel, laat hen dan ook installeren wat en van waar ze willen. Als je zegt: je mag ALLEEN apps uit ONZE store installeren, omdat andere onveilig zijn, dan neem je per definitie de volledige verantwoordelijkheid dat dit veilig is. Niet alleen zijn ze daar dus in gefaald, maar ze hebben het nog bewust en moedwillig verzwegen, omdat het inlichten van slachtoffers te ingewikkeld zou zijn en te lang zou duren? als je miljarden aan marketing kunt uitgeven, maar ocharme geen vertaling kan maken in alle talen waar je je diensten aanlevert en dan een week lang mails zou moeten sturen, dan lach je je klanten gewoon in hun gezicht uit zonder dat ze zich ook nog maar schamen, verontschuldigen of het proberen goed te maken.

Groningerkoek @dasiro • 9 mei 2021 22:24

Is mijn inziens onzin dat Apple dan de volle verantwoordelijkheid moet nemen, net als XboX, PS, Switch en andere gesloten platformen is het ondoenlijk om elke regel code na te lopen. Apple moet dat doen wat redelijkerwijs als voldoende inspanning leveren kan worden geacht.

Tevens zeggen zij niet dat andere stores per definitie onveilig zijn, maar stellen zij dat zij met hun store een bepaald niveau van veiligheid kunnen naleven waarbij het de vraag is in hoeverre andere stores dit zullen/kunnen doen.

init6 @Groningerkoek • 10 mei 2021 01:43

Als je 30% claimed en dit als argument daarvoor gebruikt dat je hierdoor een veilig platform kan aan beiden dan is Apple zeker verantwoordelijk. Lezen wij wel hetzelfde artikel? Of zijn stukken weg gelaten op jouw iOS?

curumir @init6 • 10 mei 2021 11:11

Waar staat dat de 30% gerekend worden voor de veiligheid? Ze bieden een infrastructuur en een een winkel met ongekende exposure waar je app in komt te staan. Dat totaalpakket is volgens Apple 30% van omzet van de developer waard. Net als Sony, Nintendo en Microsoft bij de Xbox.

Tevens wordt nogal vaak vergeten dat 30% van niks ook niks is. Er staan een heleboel gratis apps in de App Store...

Groningerkoek @init6 • 10 mei 2021 11:40

Apple claimt nergens dat zij een veilig platform aanbieden, dat verzin je zelf.

eboellie @oscar oscar • 9 mei 2021 17:28

dat geldt meestal: geïnfecteerde broncode van malware heeft vaak niets met de ontwikkelaar te maken, noch met zijn distributie.

Desondanks blijven er toch plichten? Vind ik dan.

laptopleon @eboellie • 9 mei 2021 23:45

Ik had eigenlijk verwacht dat er op Xcode / libraries ook wel een soort check zat, maar als de hele download malware is wordt het wel heel lastig blijkbaar.

swhnld

Smartphones

@oscar oscar • 9 mei 2021 21:25

Vertaal het eens naar een gewone winkel.
Er zit in potjes babyvoeding iets wat er niet in hoort waardoor diarree ontstaat.
Er zal een eis komen die terug te halen via supermarkten die het verkocht hebben.

Apple is de winkel die producten met troep verkocht hebben waardoor klanten risico liepen. Daarbij konden ze klanten direct informeren en hebben dat niet gedaan.
Onder huidige GDPR regelgeving was dit waarschijnlijk beboetbaar aangezien persoonsgegevens gelekt werden. Die regels waren er toen nog niet.

laptopleon @swhnld • 9 mei 2021 23:42

Vertaal je dit naar een gewone winkel, dan houden de leveranciers van de winkel zich niet aan de veiligheidsregels. Niet zo vreemd dat de producten dan ook niet meer veilig zijn. De winkelier zou ze waarschijnlijk aanklagen of de kosten onderhands verhalen. Dat is in ieder geval hoe Albert Heijn zoiets oplost.

dasiro @oscar oscar • 9 mei 2021 16:30

softwaregebruikers hebben hun apps wel uit de appstore, het waren de devs van die apps die de red flags negeerden en apple die niets gemerkt heeft bij hun "quality check" van de apps.

Aardedraadje

9 mei 2021 14:06

Mijn eerste reactie als ik dat zo lees, is "Boos! Schande! Boe Apple!"

Maar als ik de mail van Dhr. Bagwell zo lees, lag het technisch complexer dan ik eerst dacht, en hadden ze de meldingen niet altijd accuraat de deur uit kunnen krijgen. Daar zaai je misschien alleen nog maar meer chaos mee.

Blokker_1999

Malware
Networking en security
Apple

@Aardedraadje • 9 mei 2021 14:31

Of je kan ook gewoon zeggen dat Apple niet de juiste tools heeft.

Een spammer kan miljoenen emails per minuut sturen, Apple heeft een week nodig voor 128 miljoen emails. Dat is relatief traag te noemen. En dat er fouten zitten in de oplijsting van de getroffen apps voor een specifieke gebruiker is niet leuk, maar ook daar zijn oplossingen voor te verzinnen. Sowieso is Apple wel in staat om apps te blacklisten en van op afstand te verwijderen vanop toestellen. Dat had men hier dan ook kunnen en moeten doen en dan kan je gewoon een mailtje naar getroffen gebruikers sturen met de melding dat je apps van hun telefoon verwijderd hebt omdat deze malware bevatten.

supersnathan94

Apple
Smartphones

@Blokker_1999 • 9 mei 2021 15:32

Een spammer kan helemaal niet miljoenen e-mails per minuut sturen. Op het moment dat je dat doet is de kans vrijwel 1 dat je direct wordt geblokkeerd. Bedrijven als Mailchimp zijn niet voor niets heel voorzichtig met maillijsten.

Apple had 211 mails per seconde moeten sturen om dit in een week te kunnen verwerken, dat zijn er serieus veel. Het kan wel met bijvoorbeeld Postfix, maar aan de ontvangende partij gaan er op een gegeven moment wel alarmbellen af. Zeker Hotmail zet je heel snel op een blacklist.

Aan de andere kant heeft iedere Apple gebruiker wel een iCloud account en dus een Apple e-mailadres. Ws hadden ze dus niet eens de e-mail daadwerkelijk hoeven te versturen, maar hadden ze hem via hun eigen server kunnen injecteren.

n4m3l355 @supersnathan94 • 9 mei 2021 18:02

Apple koos ervoor om niet te mailen niet vanwege technische problemen maar vanwege de PR. Dit geeft aan dat voor Apple het versturen van 120 miljoen emails minder problematisch is. Iets verteld me dat wanneer Apple dit wilt doen gewoon kan, sterker nog ik vraag me af bij de launch van nieuwe producten hoeveel miljoen mails ze dan versturen, wellicht niet eens zoveel minder.

Verwijderd @n4m3l355 • 9 mei 2021 22:50

Precies. Men draait hier om de "lauwe soep" heen, terwijl het simpele feit is dat Apple ervoor heeft gekozen om geen berichten te sturen.

supersnathan94

Apple
Smartphones

@n4m3l355 • 10 mei 2021 09:39

De keuze om niet te mailen is uiteindelijk omdat het niet accuraat genoeg was en waarschijnlijk te lang zou duren. Tenminste. Dat is het enige wat ik uit dit mailtje kan halen. Jij zegt dat het PR is, ik zie vooral technische hordes.

Bij product launches krijg ik eigenlijk nooit een e-mail. Af en toe eentje, maar daar kan ook rustig een week tot drie overheen gaan na de aankondiging. Dus misschien hebben ze daar ook gewoon netjes timed sends op.

n4m3l355 @supersnathan94 • 10 mei 2021 10:05

Af en toe eentje praat je bij Apple nog steeds over tientallen miljoenen zo niet honderd+ miljoen gebruikers. Echter in dezelfde periode is ook sprake van mensen die bestellingen uitvoeren en dus emails krijgen maar ook bijvoorbeeld login problemen / password resets. Het mag dan ook wel duidelijk zijn dat voor Apple even 100 miljoen emailtjes te versturen bij lange na geen probleem is, tenzij je het niet wilt doen.

supersnathan94

Apple
Smartphones

@n4m3l355 • 10 mei 2021 10:15

Maar al die berichten worden getimed uitgestuurd. Die komen op een queue en worden afgewerkt binnen bepaalde parameters om domein reputatie op peil te houden. Dat is echt heel belangrijk. En sure dat kunnen heel wat mailtjes zijn, maar die worden dan ook verwacht door de gebruiker. Password rest mails hebben een reaction rate van boven de 90%. Het is niet 100% maar wel heel hoog. Dat is met cold targetting even iets anders. Dergelijke mails worden heel snel gemarkeerd als spam (doordat mensen het in een spamfolder gaan plaatsen of als reclame markeren of whatever) en dan kom je binnen no time op een block list.

Er is een groot verschil tussen grote volumes gewenste mails en ongewenste mail.

Even 100 miljoen e-mails versturen extra, is echt niet zo makkelijk. Dat is het nu al niet, laat staan in 2015.

kodak

Networking en security
Malware

@supersnathan94 • 9 mei 2021 17:41

Apple stuurt waarschijnlijk wel meer mails per seconde namens hun gebruikers. Wereldwijd verzenden bedrijven dagelijks miljoenen mails voor marketing en andere reclame. Het maakt dus niet uit of spammers het niet altijd lukt maar of een tool een redelijk argument is om er dan maar vanaf tenzien. Dat doen ze bij hun eigen pr waarschijnlijk ook niet.

De brandweer gaat ook niet zomaar klagen dat ze met emmers moeilijk een grote brand kunnen blussen terwijl ze luxe spuitwagens hebben die ze als het ze uit komt wel inzetten.

supersnathan94

Apple
Smartphones

@kodak • 9 mei 2021 20:07

Apple stuurt waarschijnlijk wel meer mails per seconde namens hun gebruikers.

Ja dat wel. Maar dan zijn afzender details dus anders. Iets waar spammers vaak ook mee lopen te klooien (gegenereerde adressen). Aangezien Apple het wel netjes wilde doen, moet je dus gaan rate limiten.

Vergeet niet dat 128 miljoen e-mails nog steeds een behoorlijke impact geeft op je eigen systemen en die van anderen.

Als je bijvoorbeeld ook heel veel dode accounts te pakken hebt is de kans groot dat een ontvangende partij gewoon alle mails van het domein gaat blokkeren, dus ook legitieme mails (zoals facturen voor actieve accounts). Dit zijn dingen die je bij mail campagnes bijvoorbeeld heel erg goed in de gaten houd. Sure ff een bak e-mails versturen is niet per se de uitdaging, iets als postfix red die 211 per minuut ook wel, het probleem begint pas aan de andere kant van de ketting. Als er veel ontvangers zijn op dag 1 die het als spam markeren (doordat je niet zeker kunt vaststellen dat mensen de App geïnstalleerd hebben en het een false positive was, of gewoonweg doordat mensen denken dat het spam is), ga je bij veel providers al nat voor de rest van je campagne.

Het probleem is dus niet zozeer of je zelf de boel kunt versturen, maar meer of de ontvangende kant daar ook mee akkoord gaat.

Als Apple z’n hele domein geblokkeerd raakt doordat men die mails gaat aanmerken als abuse/spam dan hebben ze meer problemen. “Ff” 128 miljoen mails sturen is echt niet zo makkelijk als het lijkt.

kodak

Networking en security
Malware

@supersnathan94 • 9 mei 2021 21:19

Ten eerste zou ik dan verwachten dat Apple dat zelf als probleem noemt, wat niet het geval lijkt. Ze noemen dat hun tool het niet kan en te lang zou duren.
Ten tweede heeft het als spam kunnen zien niet meteen gevolg dat het spam is of zelfs meteen voor meer voor zou zorgen dan wat klanten dagelijks uit hun netwerk versturen. Apple stelt dat je op hun store moet kunnen vertrouwen, als dat niet kan en daardoor klanten massaal risico lopen klinkt die klanten waarschuwen niet als spam.

Zarhrezz

@supersnathan94 • 9 mei 2021 15:53

iCloud account is zover ik weet niet gekoppeld aan een Apple email adres; mijn Apple ID is een mailadres van een andere provider. Zover ik weet heb ik geen Apple email adres en als ik het wel heb, heb ik die nog nooit bekeken. Dus via eigen servers injecteren lijkt me in dit geval niet mogelijk.

supersnathan94

Apple
Smartphones

@Zarhrezz • 9 mei 2021 16:37

Nee niet iedereen, maar toch denk ik dat je een groot deel wel kunt pakken. Dat scheelt je dan iig al direct weer een berg mails. Al is het 20%. Dat zijn er toch rustig 25 miljoen.

Lord Anubis @supersnathan94 • 9 mei 2021 15:53

Niet iedere gebruiker heeft een iCloud Account of Apple email adres. Je kon zelfs XCode gebruiken zonder Apple ID.

supersnathan94

Apple
Smartphones

@Lord Anubis • 9 mei 2021 16:24

De “gebruiker” is dan ook niet de maker van de app, maar de eindklant die de app gebruikt.

swhnld

Smartphones

@supersnathan94 • 9 mei 2021 21:31

Mail sturen, notificatie sturen, apps preventief blokkeren. Opties genoeg.

supersnathan94

Apple
Smartphones

@swhnld • 9 mei 2021 21:35

Apple kan je niet zomaar een notificatie sturen. Apps blokkeren/verwijderen ook niet. Zou wat zijn als Apple op jouw device ff dat zou doen.

Wat als de functionaliteit wel werkt en je dat nodig hebt voor je werk? Ben je mooi klaar mee.

Nee informeren is wat dat betreft de enige optie. En daarvoor hebben ze derde partijen gebruikt (media) en niet direct contact. Valt wat voor te zeggen, maar heeft ook nadelen ja.

Horla @supersnathan94 • 9 mei 2021 22:14

Ik stel voor dat je je wat beter informeert. Apple kan inderdaad zonder jouw toestemming apps verwijderen van op je iPhone.

Jan-E @Horla • 10 mei 2021 06:54

Dat Apple apps van je iDevice kan verwijderen staat niet in het artikel dat je linkt:

Starting in 2021, Apple will remove apps from its App Store that track users in ways that could be shared with other companies without receiving permission.

Of ze het kunnen (en al konden in 2015) weer ik overigens niet.

Horla @Jan-E • 10 mei 2021 11:28

Mijn excuses: het was op mijn telefoon opgezocht en had dus zelf ook maar een snelle google search gedaan en het artikel niet goed gelezen.
Hier een artikel uit 2008 dat er over rapporteert.

supersnathan94

Apple
Smartphones

@Horla • 10 mei 2021 12:45

Ja 2008. Het jaar waarin de store praktisch net bestond. Tot op heden is er vziw nog nooit een app van een device verwijderd dat is een serieus vergaande maatregel die direct het hele platform in gevaar zou brengen. De vraag is dan ook of deze api nog steeds aanwezig is en of dit een Apple only ding is, of dat dit een MDM api is waarbij admins van fleets apps kunnen pushen of verwijderen. In dat laatste geval moet het apparaat dus onder beheer staan van een organisatie.

Het feit dat dit een enkele blogpost is op een forum geeft wel aan hoe credible dit is. Dit is iemand geweest die ff wat met netwerk verkeer heeft zitten spelen, maar verder niet heel veel kan vertellen over hoe het werkt.

supersnathan94

Apple
Smartphones

@Horla • 10 mei 2021 08:54

Mar waar lees jij dat dan? Want ik haal dat niet uit het artikel. Alleen dat ze het uit de store verwijderen en daarvan weten we genoeg voorbeelden dat het kan.

Horla @supersnathan94 • 10 mei 2021 11:28

Sorry, idd verkeerd artikel: zie deze comment.

Aardedraadje

@Blokker_1999 • 9 mei 2021 14:50

Dat is ook hoe ik het zie: ze hadden die tools prima kunnen hebben. Maar om wat voor reden dan ook, waren de tools die ze op dat moment hadden, niet toereikend. Dat is in principe ook wat er in de mail staat: het systeem kan niet goed overweg met grote batches en er waren in het verleden problemen mee.

Vreemd dat ze er voor gekozen hebben om die problemen niet op te lossen.

Donstil

Apple
Tablets
Smartphones

@Blokker_1999 • 9 mei 2021 16:11

Nah dat is wel heel kort door de bocht.

Een spammer die veel mail verstuurd (miljoenen per seconde gaat sowieso niet lukken) doet dat niet vanaf een enkel domein en/of mail adres, om nog maar te zwijgen over SPF, Dkim, reputatie, enz.

Een spammer is als schieten met hagel. Je dumpt de mails het internet op en alles wat aankomt is meegenomen, in deze situatie is dat niet wat je wil want alle mails moeten immers aankomen.

Wil je als bedrijf met een goeie domein reputatie 128 miljoen mails versturen vanaf een enkel adres dan doe je dat gefaseerd. 128 miljoen in een week is dan helemaal zo traag niet, zeker niet in 2015.

[Reactie gewijzigd door Donstil op 27 juli 2024 06:10]

Verwijderd @Aardedraadje • 9 mei 2021 14:50

Mitigate mitigate

Het bedrijf ter wereld met een van de grootste winstmarges en geldvoorraad en dat vooruitstrevend wordt genoemd, heeft geen middelen of mogelijkheid om 128 miljoen mailtjes te sturen met een fatsoenlijke standaard waarschuwingsbericht.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 06:10]

Halo_Master @Verwijderd • 9 mei 2021 15:38

Ik wil wel even benadrukken dat het om 2015 ging. Niet vandaag de dag. Ik heb er geen verstand van, ik weet niet of 6 jaar geleden dit minder makkelijk te regelen was.

Verwijderd @Halo_Master • 9 mei 2021 22:47

Mijn eerste email account kreeg ik rond 1990, toen ik studeerde aan de UT. Dat was nieuw, het was vreemd, het was een knap staaltje techniek. Maar in 2015?

Halo_Master @Verwijderd • 10 mei 2021 07:52

Snap ik, ik bedoel het principe om zoveel
E-mails tegelijkertijd te vertalen en te versturen, waar hier naar gerefereerd werd.

Zarhrezz

@Verwijderd • 9 mei 2021 16:08

Naar welk bedrijf moet je dan wel migreren hiervoor? Google? Die hebben niet bepaald een goede track record wat betreft het op de hoogste stellen van hun gebruikers als het om leaks gaat. Microsoft dan? Wellicht dat die wel de infra hebben, maar dan nog is 128 miljoen mailtje binnen een week echt ongekend veel (een 100 miljoen mails benaderd de 0.5% van alle mails die dagelijks wereldwijd verstuurd worden).

"Even al je getroffen gebruikers mailen" in geval van 1000+ apps, meer dan 10 talen, wereldwijd 100+ miljoen gebruikers getuigd niet van een goed gevoel voor de schaal en complexiteit hiervan. Wellicht dat er hier wat IT experts zitten die wel eens een traject gedraaid hebben waarin zeg maar 10x het aantal inwoners van Nederland een berichtje moesten krijgen die uit ervaring wat obstakels kunnen benoemen.

Verwijderd @Zarhrezz • 9 mei 2021 21:15

Is dit nou de standaard manier van reageren? Wanneer Apple het verknalt, moeten Google of Microsoft erbij gehaald worden? Gaat het dáár om? En waarom praat jij over "migreren"? Ik had het over "Mitigate" en niet "Migrate". Als ik jou was zou ik in ieder geval niet naar een land waar ze Engels spreken mitigaten!

[Reactie gewijzigd door Verwijderd op 27 juli 2024 06:10]

Groningerkoek @Verwijderd • 9 mei 2021 16:02

Jij leest dingen in dit bericht die er niet staan.

Verwijderd @Groningerkoek • 9 mei 2021 22:44

Ik lees: "Apple koos ervoor users met Xcode-infectie niet te informeren via e-mail". En ik begrijp dus dat Apple er bewust voor heeft gekozen om dit niet te doen. Of ze nou zielig zijn of dat zij het even niet meer zag zitten om zoveel mailtjes te moeten versturen in het Nederlands, Engels, Mandarijn, Esperanto en Klingon en nog meer talen, boeit dit? Misschien. Feit is dat de papieren zeggen dat ze ervoor hebben gekozen om het niet te doen. Alle mogelijke redenen zijn hier bijTweakers erbij gesleept door fans en foes.

Verwijderd @Groningerkoek • 10 mei 2021 00:27

Ik heb gereageerd op het bericht van CykoByte.

Maar als ik de mail van Dhr. Bagwell zo lees, lag het technisch complexer dan ik eerst dacht, en hadden ze de meldingen niet altijd accuraat de deur uit kunnen krijgen.

thomas_n @Aardedraadje • 9 mei 2021 14:16

Dat is natuurlijk wel een heel zwak excuus. Apple kan er precies achterkomen wie welke apps heeft geïnstalleerd in welke taal, als ze besluiten dat met genoeg menskracht te gaan uitzoeken. Dat ze dat niet gedaan hebben betekent of dat ze het teveel gedoe vonden, of dat ze het beperken van de aandacht voor deze infectie belangrijker vonden dan het juist informeren van hun klanten.

Lord Anubis @thomas_n • 9 mei 2021 15:51

Hoe kunnen ze dat uitzoeken, als je instellingen lokaal geregeld zijn EN wie weet wat de malware makers verder veranderd hebben, zodat er geen verdere communicatie is tussen de xcode gebruiker en Apple?

thomas_n @Lord Anubis • 9 mei 2021 15:59

Apple weet wie de betreffende apps heeft gedownload en weet in welk land deze mensen wonen. (zoals blijkt uit het artikel op Ars Technica)

Volgens de e-mail was het probleem dat ze nog niet in staat waren geautomatiseerd in elke mail de apps te noemen die de betreffende klant had gedownload. Dat klinkt als een probleem dat prima op te lossen was door hun mass-email-tool te verbeteren.

berchtold @Aardedraadje • 9 mei 2021 14:13

ja dit dus, beetje misleidend van de auteur van dit bericht.

kodak

Networking en security
Malware

@Aardedraadje • 9 mei 2021 16:07

Voor wie is het iets waard om vooral te noemen wat mis kan gaan, om vervolgens miljoenen klanten niet direct te informeren?

Het kan een week kosten om iedereen te informeren? Wat is dan niet direct informeren waard?
Ze zijn niet overal zeker van? Wat is het dan de waarde om duidelijk te informeren wat er wel en niet bekend is?
Het zijn mogelijk erg veel apps? Wat is het waard om alleen klanten van populaire apps te informeren?

Apple heeft uiteindelijk aan indirect informeren gedaan. Maar ik maak uit het nieuws niet op of dat een besluit is geweest waarin ze duidelijk waren welke redenen ze hadden om op te noemen wat er mis kon gaan en ook niet duidelijk te zijn over de gevolgen daarvan voor miljoenen klanten. Ik lees zelfs niet waaruit blijkt dat het redelijk voor Apple zou zijn om dat risico voor klanten te nemen.

Apple verzamelt gegevens van klanten om er zelf winst mee te maken. Hoeveel van die winst stoppen ze sinds deze xcode-infectie in het wel direct goed kunnen informeren van miljoenen klanten? Kunnen ze miljoenen klanten na 6 jaar nu direct informeren als het weer behoorlijk mis blijkt te zijn met de betrouwbaarheid van hun store?

SuperDre @Aardedraadje • 9 mei 2021 16:38

Maarja, aan de andere kant is het ook onzin, ze verdienen meer dan genoeg geld (toen ook al) om het op orde te krijgen, verschillende talen moet zeker geen probleem zijn, aantal gebruikers ook niet. Nee, dit was gewoon een kwestie van zoveel mogelijk in de doofpot stoppen voor de miskleun die ze begaan hebben, want het was dus wel een behoorlijke tekortkoming in hun store controlesysteem dat er zoveel malware doorheen kwam.

Fiander @Aardedraadje • 9 mei 2021 18:34

Boe Apple is nog steeds terecht.

Wanneer er controles op apps waren ( je weet wel, de reden waarom ontwikkelaars 30% moeten afdragen) dan zouden deze apps bij die controles naar boven moeten komen.

DigitalExorcist @Fiander • 9 mei 2021 20:23

99% komt ook prima naar boven 😊

hawke84 9 mei 2021 17:40

Waarschuwingen over een gebrek aan digitale ondertekening, negeerden ze.

Tja....

trogdor 9 mei 2021 18:43

Ik snap het misschien niet helemaal, maar hoe moeilijk kan het nou zijn om
a: de apps in de appstore te scannen op deze malware
b: de onwikkelaars van de geinfecteerde apps op non-actief te zetten
c: al deze apps van een automatische update te voorzien die ze vervangt voor een waarschuwings-scherm of uninstaller.
d: baidu een cease and desist sturen
Dat heeft veel meer impact dan een emailtje (wat toch in de spam verdwijnt) te versturen naar miljoenen mensen.

Jan-E @trogdor • 10 mei 2021 07:22

a, b en d zullen ze vast wel gedaan hebben. Maar dit:

c: al deze apps van een automatische update te voorzien die ze vervangt voor een waarschuwings-scherm of uninstaller.

gaat technisch alleen maar werken als de gebruiker automatische updates aan heeft staan. En het roept een heleboel juridische vragen op als Apple apps die door anderen ontwikkeld zijn zelf aanpast of verwijdert.

[Reactie gewijzigd door Jan-E op 27 juli 2024 06:10]

trogdor @Jan-E • 10 mei 2021 09:08

Ik ga er van uit dat er vast wel iets in hun EULA staat waar ze dat mee kunnen regelen.
Daarbij moet ik direct aan die ene South Park episode denken trouwens... Season 15, Episode 1

Shark.Bait @trogdor • 10 mei 2021 10:37

Ik snap het misschien niet helemaal, maar hoe moeilijk kan het nou zijn om
a: de apps in de appstore te scannen op deze malware

Ah, meneer vaart graag vanaf de wal:

The article discussed research from computer scientists who found a way to sneak malicious programs into the App Store without being detected by the mandatory review process that’s supposed to automatically flag such apps. Schiller and the other people receiving the email wanted to figure out how to shore up its protections in light of their discovery that the static analyzer Apple used wasn’t effective against the newly discovered method.
“This static analyzer looks at API names rather than true APIs being called, so there’s often the issue of false positives,” Apple senior VP of Internet software and services Eddy Cue wrote. “The Static Analyzer enables us to catch direct accessing of Private APIs, but it completely misses apps using indirect methods of accessing these Private APIs. This is what the authors used in their Jekyll apps.”

Typisch geval van achter de feiten aanhollen, zoals dat ook met exploits en virussen gebeurt.

trogdor @Shark.Bait • 15 mei 2021 20:14

Het automatische process heeft het niet gevonden, maar nu ze het eenmaal kennen kunnen ze er toch alsnog op scannen?

Shark.Bait @trogdor • 17 mei 2021 09:28

Geen idee, ik werk er niet, ik heb geen idee hoe hun proces exact gaat en of het scannen erop teveel false positives oplevert. Wellicht dat ze er nu idd op kunnen scannen...

bbr 9 mei 2021 14:23

Waarschuwingen over een gebrek aan digitale ondertekening, negeerden ze

Tjah, toen was er nog niet zo veel paniek over security en crypto virussen, maar dezer dagen zou dit meteen serieuse alarmbelletjes moeten doen rinkelen.

rvt1 @bbr • 9 mei 2021 15:50

Mwhaaaa dat was in die tijd ook al lang zo kwa beveiliging. Echter we hebben het wel over een groep ontwikkelaars die app's makte van lage kwaliteit en kopietjes van applicaties. Die ontwikkelaars gaan het gewoon alleen om geld binnen harken, ikzelf heb er ook me te maken gehad maar dan via de appstore op OSX, valt niet mee te communiceren...

SuperDre @rvt1 • 9 mei 2021 16:42

Nou misschien moet je de lijst van apps eens bekijken, waren niet alleen simpele knockoffs/kopietjes.

Dark Angel 58 9 mei 2021 17:15

Best wel logisch, ALLE 128 miljoen gebruikers hoeven niet geïnformeerd worden als ze de malware apps niet daadwerkelijk hebben gedownload en gebruikt!
Ik weet nog dat ik in het verleden het nieuws over XcodeGhost had gelezen.

[Reactie gewijzigd door Dark Angel 58 op 27 juli 2024 06:10]

Meiklokje 10 mei 2021 08:00

Ze kunnen hunne nest op de site in alle talen updaten na een Keynote. Een security allert op hun site smijten gaat niet. Hun geloofwaardigheid over hun security gaat hier echt de mist in. Dit krijgt nog een staartje. Ik noem dit onbekwaamheid en quality control een dikke 0, Dit soort rotzooi in de App Store toelaten is al fout nummer 1, ach als t maar geld op brengt.

Levens Genieter @Meiklokje • 10 mei 2021 09:36

Dit krijgt geen staartje en is alleen relevant in de rechtzaak,
Dit speelde zich af in 2015.
Het enige staartje wat het zou kunnen krijgen is of ze er NU wel goed mee omgaan.
Uit voorvallen van afgelopen jaren ten opzichte vulnerabilities en rustig een half jaar wachten met patchen denk ik dat ze nog niet erg de druk van het publiek voelen.

R.Mats 10 mei 2021 08:31

Dus wat heeft dit te maken met de Epic v Apple?

ZatarraNL

9 mei 2021 14:09

Ik mis in het verhaal de relevantie voor de rechtzaak. Is dit bedoeld als argument vóór een dure en gesloten appstore? Of juist als argument dat een dure en gesloten appstore ook niet waterdicht is?

Donstil

Apple
Tablets
Smartphones

@ZatarraNL • 9 mei 2021 14:23

Ik mis in het verhaal de relevantie voor de rechtzaak. Is dit bedoeld als argument vóór een dure en gesloten appstore? Of juist als argument dat een dure en gesloten appstore ook niet waterdicht is?

Het is een probeersel van Epic om te kunnen zeggen “zie je nou. De controle op de AppStore is niet nodig want het gaat ook wel eens fout”.

k995 @Donstil • 9 mei 2021 18:24

Neen het is "zie je wel apple haar argument dat het om veiligheid gaat is onzin want daar ging geld/PR boven veiligheid"

Donstil

Apple
Tablets
Smartphones

@k995 • 9 mei 2021 19:04

Nah als je er inhoudelijker naar kijkt kan dat de conclusie eigenlijk niet zijn.

SuperDre @tweazer • 9 mei 2021 16:40

Laat me raden, jij hebt een iPhone/iPad.

tweazer @SuperDre • 9 mei 2021 17:28

Ook ? Ik snap alleen niet wat je opmerking/vraag wilt. Ook meerdere rpi's android laptops, dell/ibm/lenevo/sun/hp servers, nintendo DS, xbox whatever ?

Blokker_1999

Malware
Networking en security
Apple

@ZatarraNL • 9 mei 2021 14:15

Het is gewoon informatie die naar bovenkomt dankzij de discovery fase van de zaak tussen Apple en Epic. Tenzij er een gegronde reden is worden deze stukken dus gewoon openbaar opgenomen in de zaak en kunnen ze door iedereen doorzocht worden. En er zijn dus ook websites die de resources hebben om 1 van hun journalisten daar door te laten gaan om te zien welke interessante informatie er boven water komt.

F5544 @Vol Braakzakje • 9 mei 2021 14:44

Alsof ze nu een compliment verdienen. Iedereen maakt fouten maar blijkbaar mag alleen android genoemd worden?

Blokker_1999

Malware
Networking en security
Apple

@Vol Braakzakje • 9 mei 2021 14:41

Gewoon weer T.net bashen zoals constant in de comments gebeurt.

1 van de redactieleden ziet op zijn Zondag een verhaal waarvan hij denkt dat het interessant kan zijn, maakt er een nieuwspost van en je krijgt weer dit soort van comments. Het is ook nooit goed. Leven we nu echt in zo een verzuurde maatschapij dat we ons altijd maar weer opnieuw negatief moeten uitlaten over alles en iedereen waarmee we het eens niet eens zijn?

dakka @Blokker_1999 • 9 mei 2021 14:51

Je vraagt dit terwijl er een paar weken nog geleden een journalist en greppel is ingeschoven door een graafmachine....

k995 @m_snel • 9 mei 2021 18:23

APple haar argument waarom ze geen andere winkel toelaten is veiligheid.
Echter hier was er een serieus veiligheidsrisico en ipv direct en openlijk te handelen heeft apple gekozen om de impact te minimaliseren en gebruikers niet te informeren om geen negatieve aandacht te krijgen.

Het is dus duidelijk dat hun claim dat het puur om veiligheidheid gaat onzin is.

Op dit item kan niet meer gereageerd worden.

'Apple koos ervoor users met Xcode-infectie niet te informeren via e-mail'

Lees meer

Reacties (131)

Sorteer op:

Weergave: