Apple roept gebruikers op besturingssystemen te updaten om nieuwe NSO-zeroday

Apple heeft een beveiligingsupdate aangekondigd voor iOS, macOS en watchOS tegen een zero-day van het Israëlische bedrijf NSO Group in iMessage, waardoor toegang gekregen kon worden tot iPhones, iPads, Macs en Apple Watches zonder op een link te klikken.

De kwetsbaarheid werd actief misbruikt door de Pegasus-spyware van NSO Group, ontdekte onderzoeksbureau Citizen Lab, dat al langer onderzoek doet naar de Pegasus-spyware. De zero-click exploit tegen iMessage werd door Citizen Lab aangetroffen op de iPhone van een Saoedische activist, De exploit, genaamd ForcedEntry, misbruikt Apples image rendering library en kan zonder dat het slachtoffer op een link hoeft te klikken toegang krijgen tot een Apple-apparaat, enkel door een gifje te sturen naar de telefoon van het slachtoffer. Dat gifje is in werkelijkheid een PSD- of PDF-file. Die file crasht de IMTranscoderAgent op het apparaat, waardoor Pegasus arbitraire code kan uitvoeren op het apparaat. De kwetsbaarheid werkt op zowel iOS, MacOS als watchOS. Volgens Citizen Lab wordt de kwetsbaarheid op zijn minst sinds februari dit jaar misbruikt.

Apple roept gebruikers op zo snel mogelijk hun besturingssytemen te updaten. Voor iOS en iPadOS is de meest recente versie 14.8, voor macOS versie 11.6 en voor watchOS versie 7.6.2. Ook heeft Apple een beveiligingsupdate voor macOS Catalina uitgestuurd, update 2021-005. De ForcedEntry-kwetsbaarheid is geregistreerd onder CVE-2021-30860. De update van de besturingssystemen fixt ook een WebKit-kwetsbaarheid die remote code execution mogelijk maakt. Apple komt daarnaast met versie 14.1.2 van Safari tegen deze kwetsbaarheid.

De ForcedEntry-kwetsbaarheid is niet nieuw, deze werd in augustus al door Citizen Lab ontdekt. Toen ontdekte Citizen Lab dat de Pegasus-spyware gebruik maakte van deze kwetsbaarheid in combinatie met de Kismet-kwetsbaarheid uit 2020 tegen negen activisten uit Bahrein. Pegasus is een spywaresuite van het Israëlische bedrijf NSO Group die steeds nieuwe kwetsbaarheden gebruikt om toegang te krijgen tot de telefoons van criminelen en terroristen, maar ook journalisten, activisten en dissidenten. NSO Group verkoopt de suite aan regeringen en overheidsdiensten. In december vorig jaar ontdekte Citizen Lab ook al een zeroday in iMessage die misbruikt was door de Pegasus-spyware.

Door Stephan Vegelien

Redacteur

14-09-2021 • 07:45

172 Linkedin

Submitter: iCeQbe.

Lees meer

Reacties (172)

Wijzig sortering
Luistertip. Mocht je iets meer willen weten over NSO, Pegasus en waar het in het verleden al is ingezet, hoe men het op het spoor is gekomen is podcast aflevering 100 van Darknet Diaries een mooi startpunt: https://darknetdiaries.com/episode/100/
Dat is wel deel 2 van een tweedelige rapportage, dus om alle referenties te begrijpen helpt het om eerst aflevering 99 te luisteren. Maar in afl 99 ligt de focus nog niet op Pegasus, maar op een specifiek geval waar Pegasus waarschijnlijk gebruikt is.
Ik zou inderdaad zeker eerst aflevering 99 luisteren. Het is sowieso een fantastische podcast. Heel erg intrigerend. Aflevering 99 gaat over spionage en counter-spionage verteld door o.a. een spion die geswitcht is van kant. Het subject van de spionage was Citizen Lab. Aanrader.

Edit: n.a.v. tip van @ctrlaltdelbe ;-)

[Reactie gewijzigd door sjakie02 op 14 september 2021 09:26]

Kleine nuance: het subject van de spionage was Citizen Lab en dus niet de Belgische start-up CitizenLab.
Aflevering 99 van Darknet Diaries gaat er inderdaad aan vooraf.

Schokkend hoe ver NSO gaat om degenen die hen dwarsbomen in diskrediet proberen te brengen!
Tja, NSO group. Een beetje de huurlingen van de digitale tijd. Lichtelijk idioot dat ze zomaar kunnen bestaan in een (soort van) westers land.
Aflevering 99 heet "The Spy" en aflevering 100 het "NSO". Niet altijd staan de afleveringnummers er bij.
Toevallig gisteren voor het eerst geluisterd. Waanzinnig wat er allemaal rondgaat qua spyware en software
Vrij simpel: Israel heeft een enorm hoge stand van opleiding en kennis en echt niet alleen op het gebied van IT, dat zit al in de godsdienst waar "leren" in hoog aanzien staat. i.i.t. omringende landen waar alleen de elite wordt opgeleid en de rest - eh... wat minder.

Racisme en zo? kijk b.v. even naar het aantal Nobel prijzen: https://en.wikipedia.org/wiki/List_of_Jewish_Nobel_laureates daar staat dat joden 20% van de Nobelprijzen binnengesleept hebben, oftewel 180 stuks. Niet gek op een klein aantal mensen: er zijn ongeveer 17 miljoen joden. Nederland heeft met een gelijk aantal mensen 21 nobel prijzen. Aardig, maar komt niet in de buurt!
Even de buren kijken: er zijn 12 moslim Nobel prijs winnaars, tegen de kennelijk 180 joodse winnaars. op een totaal aantal moslims van 1.8 miljard.
Dus 100x zoveel mensen, 15x zo weinig nobel prijzen... een factor 1500 verschil, zelfs als je de grote verschillen in technologische ontwikkeling meerekent (en raad eens waar die vandaan komt?).
Israel is niet het enige land waar joden wonen ...

Volg je eigen link en onderaan de pagina staat de verdeling per land.

Israel heeft 12 nobel prijs winnaars en minstens drie daarvan zijn geen wetenschappers maar politici
Tot het jaar 1100 deden Moslims ook hard mee, en toen heeft een of andere Islamitische schrift-geleerde Wiskunde in de ban gedaan als werk van de Duivel.

Tot 1100 habben veel sterren Arabische/Islamitische namen.

Nobel prijzen verschil is bekend, en een Belgische katholieke Jezusiet priester (Wetenschappelijke tak van de katholieke kerk) heeft de "Big Bang theorie" voorgesteld!
Dat komt simpelweg omdat er in Israël enorm veel goede IT security mensen rondlopen. :)
Je kunt naar deze podcast van Darknet Diaries luisteren, waarin duidelijk wordt waarom er zoveel goede programmeurs en hackers in dat land zijn.
Exploits maken bedoelt voor praktijk applicaties is niet IT security, dat is IT anti-security. De knowhow komt overheen, de ethiek niet.

PS. Wil ik niet mee zeggen dat Israel uitzonderlijk is, wapen handel doen alle landen vrolijk aan mee. Maar zijn genoeg individuen die weigeren in de wapen industrie te werken.

[Reactie gewijzigd door Pinkys Brain op 14 september 2021 10:38]

IT security betreft niet alleen een lichte kant; er is ook een donkere die door menig instantie wordt uitgeoefend. Kijk maar naar de NSA, AIVD, MIVD, MI6, BND, (Unit) יחידה 8200, , etc. etc. Het blijft een feit dat er enorm veel potentieel in Israël rondloopt. :)
Ik denk dat er meer mensen blij zijn met de Israëlische tech, dan dat er zijn die er last van hebben.
Ook wordt er vaak verwarrend gedacht over deze tech (of allerlei blabla bij ingefietst) omdat het uit Israel komt.
Iets wat mensen met een wetenschappelijke benadering van zaken niet zou moeten mogen overkomen.
Hoe kan het zijn dat ze alsnog bij Apple kunnen indringen terwijl het systeem gesloten is?
Dit werkt ook op Android.

https://sonique6784.mediu...roid-and-ios-68fb94f35657

En waar is de security update voor Android?
Je refereert aan een tool die de Pegasus software op je telefoon kan vinden. Dat wil niet zeggen dat de beschreven 0-day ook op Android werkt. Aangezien die gebruik maakt van een specifieke fout in een lib van Apple denk ik dat je wat kort door de bocht bent.

[Reactie gewijzigd door Ray_ op 14 september 2021 08:37]

Vast wel, maar niet via deze zero-click iniedergeval..
Dat is toch geen antwoord op zijn vraag? Kleuters moeten er altijd weer een android vs ios ding van maken 8)7 8)7
Daar gaat het hele nieuwsbericht niet over, en je beantwoorde zijn vraag niet eens. En ja, ik vind mensen die er gelijk een android vs ios oorlog van maken inderdaad kleuters, ik zal vast niet de enige zijn die er zo over denkt.
Dus als je constateert dat geavanceerde software op zowel Android als IOS werkt is dat kleuter gedrag?

Kind.
Het is kleutergedrag dat je er gelijk een android vs ios ding van maakt, maar blijkbaar snap je dat niet, dus laat lekker lopen :)
Och ik blijf me verbazen dat geavanceerde malware op zowel IOS als Android kan werken. Maar kinderen vinden dit soort vergelijking kleuter-achtig.
The Android strain does not require the use of a zero-day vulnerability to root the target device.
https://bestsecuritysearc...-evolves-android-version/

[Reactie gewijzigd door obimk1 op 15 september 2021 17:59]

Ik heb helemaal nooit gezegd dat het niet kan op Android maar je blijft er maar op doorgaan, laat het toch los, blijkbaar zit het diep....
Omdat gesloten niet hetzelfde is als "absoluut veilig". De mens is niet in staat dergelijke complexe software systemen te bouwen. https://xkcd.com/2030/ Ik wijt dat zelf voor een belangrijk deel aan het feit dat software weliswaar visueel gerepresenteerd kan worden op een beeldscherm, maar je kunt het niet aanraken, in knijpen, bekijken, tegenaan schoppen, letterlijk.
Omdat gesloten niet hetzelfde is als "absoluut veilig". De mens is niet in staat dergelijke complexe software systemen te bouwen.
Open of gesloten zegt niets over veiligheid..

De mens maakt fouten dus zullen er in software, gemaakt door de mens altijd fouten blijven zitten. Het is nu wachten op software die zelf software ontwikkeld of tegen die tijd doet de software verder alles en zijn we op een ai punt aangekomen. Dan is het een wedstrijd tussen welke software het slimste is en of de ene software nog bug in de andere kan vinden.
Is dat zo? Als ik de reacties hier soms lees ben je met Apple altijd 100% veilig en krijg je met Android niets anders dan trojans, virussen, tracking etc.
Net zoals Apple niet altijd 100% veilig is zijn de reacties op Tweakers niet altijd 100% juist. Dat geldt trouwens ook gewoon voor mijn eigen reacties.
Namen en rugnummers naar die reacties, want ik zie dat soort ongenuanceerde reacties op Tweakers maar weinig.

Apple is het *meest* veilige platform, dat durf ik best te stellen. Maar let wel op in je 'threat modeling'. Je beveiligt jezelf tegen een hele hoop groepen.

Laten we ze in wat niveaus verdelen.
1. Een random iemand, die je telefoon onnbewaakt op tafel vind en voor de grap je instellingen op Chinees wil zetten, of uit nieuwsgierigheid in je berichten wil neuzen
2. Boeven, die je telefoon jatten en willen doorverkopen.
3. Georganiseerde cybercriminelen, die je telefoon als mooie ingang zien voor systemen waar je toegang toe hebt (2FA stelen, bvb.) of willen ransomwaren
4. Meneer agent, die denkt het recht te hebben in je telefoon te snuffelen, terwijl hij je staande houdt/arresteert voor een ongerelateerde zaak
5. Stateliijke hackers, die om hun moverende reden toegang willen.

iPhone (en goed onderhouden Androids) bieden op de lagere niveaus veel meer bescherming dan op de hogere niveaus. Niveau 4 en 5 zijn lastig, want de 'resources' en motivatie is daar het grootst.

In dit geval gaat de hack (en bijbehorende complexiteit om het uit te buiten) eerder over niveau 5 dan niveau 3 of lager.
Je moet niet alles geloven wat je hier leest... Niets maar dan ook niets in deze wereld is 100% veilig, zelfs ademhalen kan je dood worden.
Nice reference to "A quiet place".
Euh, de film? Niet gezien, care to elaborate? :-)
Ik denk niet dat ie dat überhaupt gelezen heeft hier. ;)
Kan je lang wachten, de 'zichzelf programmerende computer' werd in de jaren 50 al bedacht maar de pogingen tot nu toe zijn nou niet echt veelbelovend. Aan de andere kant: als iedereen maar blijft wachten komt er per definitie geen vooruitgang :+

Tot nu toe zijn alle pogingen om software te bouwen waarmee je zonder code software kan bouwen of zo beperkt dat je er weinig aan hebt of zo ingewikkeld dat je een programmeur nodig hebt...

Ik zie persoonlijk meer in het overstappen op programmeertalen die onveilige constructies beperken, maar er zit voor duizenden manjaren ontwikkeling in de huidige software stacks dus 'even herschrijven' is er niet bij.
Zelfs als je in iets kan knijpen, bekijken, tegenaan schoppen is een product nog niet perfect of foutloos. Zie de vele terugroepacties op producten ;)
Omdat in alle software fouten zitten en wie wil altijd een fout zal vinden? Het blijft mensenwerk.
Fout. 5 jaar geleden stond Tweakers ook al vol met berichten over kwetsbaarheden in iOS:

Securitybedrijven ontdekken drie zero days in iOS die actief werden misbruikt

Wat je OOK 5 jaar geleden had, is mensen die vrijwel hetzelfde zeggen als jij :)
Wat een grap, ik zat er vandaag nog over te denken dat iOS vol zou zitten van de zero-days en dat iedereen Android maar onveilig vindt, kijk hier, is nog waar ook! :+ 8)7
Zelfs in 2007 had Apple al last van zero-days, niks nieuws
OSX 13 bestaat niet. Waarschijnlijk bedoel je 10.13 waarvan het idd in nov 2020 was afgelopen. Je kan gewoon opencore legacy patcher proberen. Natuurlijk eerst even kijken of jouw systeem supported is.

Edit: Ik heb het nog even nagekeken maar de procedure creëert de standaard installatie media met daarbij een opencore bootloader. Daarna kan je je Mac patchen waarbij de grootste boosdoener de GPU zal zijn die evt tegen kan werken. Deze moet wel metal ondersteunen. Het staat hier allemaal vrij eenvoudig en duidelijk uitgelegd.

[Reactie gewijzigd door InsanelyHack op 14 september 2021 11:52]

Maar dat wisten we toch al lang, anders waren jailbreaks/Root-acces niet mogelijk geweest.
Bovendien is er nog steeds een groot verschil tussen Apple en Google, met het wel of niet kunnen installeren van troep buiten de daarvoor bestemde store om. Bij Apple worden malafide apps al snel verwijderd als ze uberhaupt al door een strenge controle komen. Bij Android installeer je maar raak voor een knaak, ook vanaf je internetbrowser of malafide apps.
Dus omdat Google toestaat dat je ook buiten hun store om dingen installeert is het minder veilig? Beetje verantwoordelijkheid bij de eindgebruiker mag ook wel.
Dat staat los van elkaar. Een verplichting kan het wel degelijk veiliger maken. Autogordels zijn ook verplicht en dat maakt autorijden gewoon veiliger. Het beschermt onwetenden en opportunisten tegen hun eigen gedrag. Dat is bij een gesloten systeem ook zo.
Als we alle risico’s in de wereld laten afhangen van eigen verantwoordelijkheid wordt het wel degelijk onveiliger.
Je maakt hier wel gelijk een prachtige slippery slope van. Dat je ergens een optie hebt om die verantwoordelijkheid bij jezelf te leggen en alle risico's in de wereld bij een persoon leggen zijn toch compleet verschillende dingen.

Ook kan je de vergelijking beter stellen dat je bij Apple de gordelriemen nooit af kan doen en bij Google dat wel kan mocht je dat willen maar dan moet je wel een paar waarschuwingen negeren.

Obscurity is not security geldt hier ook weer, een gesloten systeem is per definitie echt niet veiliger. Apple maakt het ook veel lastiger om onderzoek te doen naar eventuele zwakke punten voor mensen met goede intenties zoals onderzoekers.
Security by obscurity heeft helemaal niets te maken met open of gesloten systeem. :/ Hoogstens op de bron (hoewel het hebben van de bron een luxe is, maar zeker geen vereiste bij een beveiligingsonderzoek), die bij beide populaire mobiele OS’en niet open is. (Ja een stukje van Android, maar die enorme laag aan Google Services én de schil van de fabrikant die het bruikbaar maken en allerlei API’s levert is dat niet en dus kan je imho niet stellen dat het FOSS is.)
Apple is alleen zo gesloten dat het Corellium aanklaagde omdat onderzoekers hun virtuele iPhones gebruikten voor t zoeken van bugs.

Dus het heeft er zeker wel mee te maken, Apple wilt alles zo dicht houden dat niemand kan zoeken naar bugs.
Helemaal met je eens, maar dat is voor ouderen niet altijd vanzelfsprekend. Net zoals je beter alle toetsen uit alle afstandsbedieningen kan halen, aan / uit, zender + en - en volume + en - alleen laten zitten.
Ook dat kan met iOS gewoon. Zoek maar op: sideloaden en developer/enterprise profiles.
Kost je alleen wel flink wat... denk dat dat al genoeg afschrikt om het niet te doen voor "de gewone gebruiker".
"de gewone gebruiker" schrikt sideloaden op android ook af. De gewone gebruiker heeft niet eens de behoefte en weet over het algemeen niet dat het kan. Die paar gebruikers die dat wel doen moeten dan ook maar slim genoeg zijn om de mogelijke consequenties te snappen.
Flink wat, naja met één knop een profiel installeren en je bent er al hoor. Beide besturingssystemen hebben het standaard uit staan, maar in beide gevallen is er een makkelijke omweg voor gebruiker én aanvaller.
Anoniem: 1657372
@Silasje14 september 2021 11:49
Los van dat 'installeer je maar raak' onzin is, je moet flink wat stappen uitvoeren om te kunnen sideloaden, is constant alles van Apple of Android om proberen te toveren in een gevecht ook een heel raar iets. Dit is gewoon een bericht over Apple, waarom gaat het meteen (op een flink denigrerende toon) over Android? Zeker aangezien dit ook over macs gaat waar je allerlei dingen 'maar raak kunt installeren voor een knaak'.
Bij Android installeer je maar raak voor een knaak, ook vanaf je internetbrowser of malafide apps.

Stemmingmakerij. De gemiddelde Android gebruiker maakt alleen gebruik van de Play Store. Dat iets kan betekent niet dat iedereen dat zomaar doet. En zowel Apple als Google hebben last gehad van malafide apps in hun store.
Het kan zeker, maar jan met de pet, die er geen verstand van heeft zal het niet zomaar lukken. Een tweaker zoals jij en ik zullen het ongetwijfeld voor elkaar krijgen.
Wat een niveau. 'schapen'.

Gelukkig zie jij breder dan al die 'schapen' !
Niks is 100% veilig en het is nooit te garanderen. Alleen de mate van beveiliging verschilt. Ik wantrouw wat dat betreft eerder bedrijven die nooit beveiliginglekken patchen.
Niemand heeft ooit beweerd dat Apple bullitproof is. Door de aard van het OS en de strikte policies is het wel moeilijker aan te vallen dan Android. Voor ieder wat wils dus. Veiliger, minder mogelijkheden en strakker omkaderd of minder veilig, meer mogelijkheden en meer vrijheden. het ene is niet beter dan het andere. Het bedient andere behoeften.
Echt werkelijk niemand claimt dat Apple bulletproof software maakt omdat het systeem gesloten is.

Wat mensen zeggen is dat omdat iOS een gesloten systeem is met App Store in eigen bezit, het lastiger is voor een gebruiker om een virus/malware te installeren. Daar kun je wat van vinden, maar het helpt wel.

Wat ook helpt is dat als er bugs/security issues gevonden worden, Apple meteen een iOS update kan pushen die voor al hun apparaten geldt van de afgelopen 5 jaar. Als je Android draait, mag je maar hopen dat jouw telefoon van dat merk een beetje bij de tijd blijft en snel security patches meegeeft- laat staan hoe lang ze dit doen voor jouw device.

Dat alles maakt Apple dus niet bulletproof- en niemand zegt dat. Haat Apple of niet, maar probeer wel zaken in context te blijven trekken. De persoon die altijd foutloze code kan schrijven moet nog uitgevonden worden.

(En nee- dit zeg ik niet als Apple fanboy. Zou beetje vreemd zijn aangezien ik dit jaar switch naar een Samsung Flip)
Als jij je voordeur op slot hebt, wil dat niet zeggen dat ze niet bij je kunnen inbreken.
Met “gesloten” bedoel je waarschijnlijk dat alle apps via de officiële App Store op de telefoon moeten komen. Dat is hier niet relevant want er wordt voor deze aanval geen gebruik gemaakt van een app.

Verder is een deel van iOS (inclusief de kernel) Open Source en kun je ook bij closed source, met onder andere simpelweg heel veel (geautomatiseerd) proberen, kwetsbaarheden ontdekken. Daar heb je de source code niet voor nodig.

[Reactie gewijzigd door Maurits van Baerle op 14 september 2021 08:15]

Hoe kan het zijn dat ze alsnog bij Apple kunnen indringen terwijl het systeem gesloten is?
Apps binnen apple werken normaal gesproken binnen een sandbox. De uitzonderingen daarop zijn apps die met het systeem zelf meegeleverd worden. Ze werken wel in een asndbox maar hebben aanzienlijk meer rechten. Dat is ook de reden waarom de appstore de apps niet zelf update, maar ze dmv een systeem update meegenomen worden.

[Reactie gewijzigd door Luchtbakker op 14 september 2021 08:20]

Voor IOS (en afgeleiden zoals iPadOS) geldt dat inderdaad. Dit is niet het geval bij macOS. Daar kun je van alles buiten de AppStore downloaden die vergaande toegang kunnen hebben tot het systeem, zoals kernel extensies.
Omdat "het systeem" helemaal niet gesloten is. Wie verzint dit soort onzin toch steeds??
In tegenstelling tot android is iOS wel zeker een gesloten systeem althans dat wordt vaak gezegd. En is qua beveiliging toch wel een van de betere operating systemen.
In dat opzicht is Windows ook zeer gesloten; kijk naar de vereisten voor TPM, UEFI, Secure Boot en al wat dies meer zij, zeker met de komst van Windows 11 straks.

En inderdaad, iOS is qua beveiliging wel net even wat strakker dan Android. Maar "gesloten" is uiteraard onzin.
Als het niet gesloten is, waar zijn dan de alternatieve appstores, de mogelijkheiden om simpel te side-loaden etc?
Het is maar de vraag waar je die voor nodig zou hebben. Liever een goed gecureerde App Store (hoofdzakelijk, niet 100% gegarandeerd want dat zeg ik nergens) dan vage bij elkaar geraapte troep voor afwijkende prijzen. Kijk eens naar zo'n trainwreck als wat Samsung met z'n eigen Galaxy App Store doet (of hoe dat geval ook heet tegenwoordig) náást de Google Play Store.

Dat maakt het systeem niet minder 'gesloten', dat maakt het veiliger en betrouwbaarder. Ja je kunt beargumenteren dat het systeem daardoor 'open' wordt door die meuk toe te laten. Maar dat maakt het écht geen verbetering.

Android-toestellen zijn ook niet bij voorbaat 'open' wat custom ROM's betreft: er zijn fabrikanten die hun bootloaders niet zomaar vrijgeven. En ook daar is support verre van gegarandeerd als dat wél gebeurd. Ja je kunt er een custom ROM op zetten maar het is eigenlijk godsgeklaagd dat het nodig is als je alleen een custom ROM wil hebben om updates te blijven ontvangen.

Misschien is "gesloten is onzin" wel wat gechargeerd van me. Het is open genoeg voor álle functionaliteit die de mééste mensen nodig hebben. Ik pruts al dik 30 jaar met PC's ondertussen, van m'n eerste Philips XT tot aan m'n Ryzen 5 3600-systeem dat ik nu heb staan (primair voor Flight Simulator, anders had ik aan m'n Macbook genoeg gehad ;) ) maar als het op telefoons aan komt wil ik gewoon productiviteit. Ik wil geen gehannes met die Android toestanden meer. Ik wil er van op aan kunnen dat het ding 100% van de tijd werkt en voor mij is dat iOS. Ik kan er letterlijk *alles* op doen wat ik ooit nodig zal hebben, en voor het grovere werk heb ik een iPad of m'n Macbook wel.

Ik heb zakelijk nog een Samsung A5 2016 liggen. Ding is pas 5 jaar oud en het énige dat het ding hoeft te doen is mailtjes te kunnen ontvangen en versturen (voor bereikbaarheidsdiensten, een weekje per 2 maanden ongeveer). En dát is nou precies wat het kreng niet kan: Outlook doet er 40 seconden over om te openen, als de wind uit de goeie richting komt laadt ie binnen een minuut nieuwe mailtjes en met wat goeie wil opent 'ie de mail óók nog.

En dan heb je het over een toestel wat niet eens zo héél ondermaats zou moeten zijn voor die éne taak....

[Reactie gewijzigd door DigitalExorcist op 14 september 2021 09:24]

Het is maar de vraag waar je die voor nodig zou hebben
Nee, dat is niet relevant als je kijkt of een systeem open of gesloten is...
Dat maakt het systeem niet minder 'gesloten', dat maakt het veiliger en betrouwbaarder
Of het veiliger en betrouwbaarder is, is ook niet relevant... en betwistbaar.
Android-toestellen zijn ook niet bij voorbaat 'open'
Ook niet relevant, want we hebben het hier over Apple toestellen.

Maar jouw argumentatie om aan te geven dat een gesloten systeem voordelen heeft geeft dus al aan dat het een gesloten systeem is...

[Reactie gewijzigd door Zer0 op 14 september 2021 09:25]

Als "open" je definitie is voor "illegale onbetrouwbare warez kunnen installeren" dan is iOS inderdaad wat geslotener :)
Nee, open betekend kunnen installeren wat ik wil, en niet wat een ander mij voorschrijft. En of dat warez/malware is is mijn verantwoordelijkheid, niet de van de fabrikant van mijn telefoon.
En ik heb geen probleem met het nemen van die verantwoordelijkheid.
Installeer jij Windows of Ubuntu anders even op je Android toestel?
De smoesjes/excuses die je geeft waarom je met iOS dingen niet kan/mag bevestigen wel dat het gesloten is (en jij dat ook weet) ondanks dat je het niet hardop durft te zeggen/stellen :Y)

De vragen over Android zijn ook niks minder dan afleiding van de discussie of iOS gesloten is (hoewel daar weinig discussieruimte is het is namelijk gesloten)...
Het gaat om de definitie van "open" of "gesloten" .. het is gesloten in die zin dat je niet alles kan installeren zonder de App Store, het is open in die zin dat iedereen ervoor kan ontwikkelen wat ze willen. En het is weer gesloten omdat je gebonden bent aan de design guidelines en 'sandbox' (waarbij bijv. emulatoren niet kunnen), en weer "open" omdat je direct je ontwikkelde Apps op 1 plek aan de hele wereld kunt aanbieden. Et cetera.
het is open in die zin dat iedereen ervoor kan ontwikkelen wat ze willen.
Nee, want zelf om te mogen ontwikkelen voor iOS moet je een developers-account hebben, waar weer de nodig restricties aan hangen.
en weer "open" omdat je direct je ontwikkelde Apps op 1 plek aan de hele wereld kunt aanbieden.
Het is niet "open" want je hebt maar één plek waar je het aan mag bieden... dat dat direct aan de hele wereld is maakt het niet open.
We hebben het niet over Android, Windows of Linux, we hebben het over iOS.
Of andere besturingssystemen meer open of gesloten zijn doet er niet toe.
Je gaat continu een discussie aan met digitalExorcist.

Totaal zinloos.
Die wil gelijk hebben op elke post hij/zij op reageerd.

@Zer0 lol

[Reactie gewijzigd door jqv op 14 september 2021 13:32]

Ach, entertainment is over het algemeen nutteloos :P
In tegenstelling tot android is iOS wel zeker een gesloten systeem althans dat wordt vaak gezegd. En is qua beveiliging toch wel een van de betere operating systemen.
Heb je het artikel, en de bronnen er achter gelezen ?

Er zijn mensen achtervolgd, aanslagen op die mensen geweest en jarenlang 'afgeluisterd'
En die gebruikten een IOS device, vaak ook nog eens met de laatste updates.

Het enige wat je hier uit kunt filteren, is dat Apple er misschien iets minder last van heeft, maar als er een doel is, zal er alles aan gedaan worden om die alsnog te bereiken.
Die NSO groep is een hoog gefinancierde partij mensen, het geld komt langs alle kanten binnen ( Mossad en CIA )
Trekken de slimste studenten uit Ben Gurion universiteit, en verdienen een beetje bij door aan overheden te verkopen die mensenrechten hoog in het vaandel hebben.
De term gesloten is inderdaad wat abstract voor wat er bedoeld wordt natuurlijk. Het is tot zo ver gesloten dat als in een zandbak zitten waar ze qua ontwerp niet buiten kunnen.

(( ze moeten met APIs praten om iets buiten hun zandbakje te kunnen doen ))

Uiteraard is bovenstaande puur het theoretische ontwerp hoe het door Apple gepresenteerd wordt, en de praktijk heeft geleerd dat het niet zo hermetisch gesloten is als dat ze doen voorkomen.
En dat is nu het probleem. Die zandbak bestaat niet voor de Apple eigen apps die ingebakken zitten in iOS zoals Safari en iMessage. Pas sinds heel recent is er een soort beperkte zandbak om iMessage heen gekomen, maar die is overduidelijk behoorlijk lek.
Is dat zo?
Uit nieuwsgierigheid... Heb je daar iets van een bron van? Ik vind dat namelijk wel interessant. Want JUIST een browser zou je helemaal afgeschermd willen hebben, aangezien die daadwerkelijk code uitvoert (in de vorm van Javascript e.d.)
https://www.wired.com/story/ios-security-imessage-safari/

Het gevaar met iOS (en veel andere dingen in 't leven) is dat mensen aannames doen over de werking/constructie. Dat iOS 5 tot 10 jaar geleden relatief weinig gaten publiek bekend had, betekende niet dat ze er niet waren of dat iOS zo bijzonder veilig was. Het was toen vooral makkelijker om Android te pakken en zoveel aandacht kreeg veiligheid toen sowieso niet. De conclusie dat iOS zo superveilig was, was veel te kortzichtig.

Bedenk even dat dit ontwerp, deze situatie met Safari ín het OS gebakken betekent dat je dus ook een OS update nodig hebt voor een fix. Geen ander modern OS is zo dom op dit moment. Microsoft en de rest van de wereld hebben die les geleerd van Windows XP. Apple heeft die memo duidelijk niet gehad.

[Reactie gewijzigd door fapkonijntje op 14 september 2021 09:48]

Gesloten duidt op closed-source. iOS is inderdaad closed source, d.w.z. de broncode is geheim.
Android is open source, de broncode is publiek toegankelijk.
“Android is open source, de broncode is publiek toegankelijk.”

Mwah. Er is een variant van Android die opensource is, maar wat op je toestel draait met die hele bak Google Services en spul van de fabrikant is allemaal proprietary code en geenszins open. Je kan dus over het algemeen niet stellen dat het Android wat de meeste gebruikers kennen en wat ze verwachten qua functionaliteit daadwerkelijk opensource is. Enkel een stukje basis is opensource, de rest is dat allemaal totaal niet.

Ik bedoel, als je enkel naar dat stukje basis wil kijken om te stellen dat “Android” opensource is, dan is iOS ook opensource. :P

[Reactie gewijzigd door WhatsappHack op 14 september 2021 16:05]

Onzin, Android kan wel open source zijn maar vaak zijn drivers dat niet. Anders waren projecten als AOSP niet nodig geweest.
Het is net zo gesloten als Windows. En het wel of niet beschikbaar zijn van de broncode, wil ook niet zeggen dat je geen bugs kunt vinden en misbruiken omdat de broncode er niet is. Aanwezige functionaliteit op een andere manier gebruiken/misbruiken, dat is "alles" wat je doet om een bug uit te buiten.
Minder ogen op het systeem om het veilig te houden? Exploits voor Android zijn tegenwoordig duurder dan die voor ios. :X
Euh... ben je nu zo naïef?
Of ben je gewoon een beetje aan het dollen?
Dat was een retorische vraag..
Het is precies dezelfde vraag als waar ik op reageer: iets (huis, iOS) is op slot, hoezo kan een inbreker dan toch binnenkomen?

Het simpele antwoord is: er is altijd wel een ingang te vinden. Voor elke 10 mensen die aan security werken bij software, zijn er minstens 100 die het proberen te kraken. Dat ga je gewoon niet voorkomen.
Nja,

Je hebt verschillende deuren. De inbreker zal niet in kunnen breken in een brandwerende deur bijvoorbeeld. Maar wel via jouw Enkelglas deur of dubbelglas deur.

Snap je me punt. Ik heb sowieso altijd gedacht dat Apple qua eco-systeem pot dicht is. Zo werd het ook getoond aan me en ze ook niet aan shady stuff doen als tracken etc.
Wat je ook van de NSO groep vindt: het zijn wel op en top professionals met zoveel zero-days op hun naam.
Zeker. Net als Oppenheimer, von Braun etc.

Het probleem is dat ze heel goed zijn in hun vak maar niet gaan over de toepassingen ervan. Wetenschappers moeten wel ingebed zijn in een maatschappelijke context om misbruik te voorkomen.

Of zoals von Braun zei toen de eerste V2 Londen haalde. "Een geweldige raket, maar helaas op de verkeerde planeet geland. "
top professionals met zoveel zero-days op hun naam.
Of top professionals in het kopen van zero-days.
Als je aan de verkeerde kant van de strijd staat dan ben je gewoon een eikel. En ik vraag me af in hoeverre NSO alle zerodays echt zelf ontwikkeld en niet gewoon aangeleverd krijgen voor veel geld
Wat je ook van de NSO groep vindt: het zijn wel op en top professionals met zoveel zero-days op hun naam.
Waar haal je de illusie vandaan dat zij de enigste zijn?


De focus is al enkele jaren op NSO door wat overijverige journalisten die in de veronderstelling zijn dat wanneer NSO weg is, het probleem is opgelost.

Maar dat is onzin.

Alle landen maken gebruik van dergelijke software alleen NSO is een grotere vis. Als Citizen Lab beetje serieus is dan kloppen ze eerst aan bij de overheid van de VS die compleet eigen divisies heeft.

https://www.theregister.c...23/microsoft_chinese_nsa/


Als je een beetje serieuze journalist bent klop je eerst bij je eigen overheid aan in plaats populair een mening te hebben over een ander land.
Ik heb niet de illusie dat ze de enige zijn. Hoe kom je tot die conclusie?

Het is inderdaad nogal een club die enigszins in de schaduw werkt. Al vinden ze zelf natuurlijk van niet. Erg transparant is het allemaal niet.
Voor mensen die iOS 15(beta) draaien is er helaas nog geen update verkrijgbaar.
En daarom gebruik je geen beta versies op kritische systemen...
Misschien is zijn telefoon voor hem geen kritisch systeem.
Als je je druk maakt over veiligheidslekken is het wel kritisch lijkt me.
Kom van android, er zitten een aantal features in ios15 die de telefoon voor mij juist bruikbaar maken. Verder hebben dit soort "zero days" toch geen effect op mij, 99% van de bevolking is niet belangrijk genoeg om aangevallen te worden met dit soort shit.

Als het een giga groot probleem was had apple wel een update uitgerold voor het beta programma neem ik aan.
Voor mensen die nog met een oudere telefoon zitten ook niet. Die kregen, ondanks dat het iOS achter wordt gehouden, nog wel beveiligingsupdates tot op heden. Deze echter nog niet.
* skullsplitter zit nog met een iPhone 6
Damn hoe houd je het vol met zo'n oud ding haha. Hoe goed is zo'n iphone 6 nog in 2021?
Meer dan goed genoeg voor Signal/Whatsapp, navigatie en de foto's zijn alleszins redelijk.
Mijn vrouw heeft er 1, werkt zonder noemenswaardige problemen?
Het werkt. Het begint pas het laatste jaar echt op de achterste benen te staan. Batterij 1x vervangen, begint nu weer flink terug te lopen.

Mijn stap van 4S naar 6 was gewoon niet groot genoeg om elk jaar een nieuwe te willen. Nu weer wel.
Telefoons en computers kunnen gewoon veel langer mee heden ten dage omdat er een soortement van plateau is bereikt.
Ik zit momenteel nog op een iPhone SE (2016). Eerst als vervangtoestel nadat mn Pixel het begeven had. Maar eigenlijk bevalt het me nog best, doet alles wat ik ermee wil doen (laatste iOS versie, kan alle apps draaien, net nog de batterij vervangen, foto's zijn gewoon goed).

Altijd maar de laatste nieuwe willen hebben is ons gewoon aangepraat door de marketingjongens.

Enkel voor een groter scherm ga ik nu een iPhone 12 halen als straks de 13 uit is (aan gereduceerde prijs). Daar verwacht ik dan weer 5 jaar mee verder te kunnen.
nadat mn Pixel het begeven had.
Welke pixel had je toevallig? Ik heb zelf 5!! Rma's gehad voor mijn pixel 3.
Altijd maar de laatste nieuwe willen hebben is ons gewoon aangepraat door de marketingjongens.
Klopt, helaas is het gewoon kloten om de batterij van een telefoon te vervangen, en is software een issue op android, je krijgt namelijk niet echt security patches. Een nieuwe os flashen is dan ook je enige optie, maar de meeste mensen kunnen dat niet.
De originele Pixel XL. Inderdaad, scherm kapot gedaan bij het zelf vervangen van de batterij 8)7 . Alles is aan elkaar gelijmd, echt heel lastig.

Nog een prima toestel, maar hij kreeg inderdaad ook al eventjes geen software updates meer, reden te meer om hem eigenlijk weg te doen. Custom roms enzo begin ik niet aan, en is op zich ook een security issue.

Dat is ook een van de grote redenen om nu terug een iPhone te halen, niemand doet beter dan Apple qua langdurige software support. Hoewel ik iOS eigenlijk minder fijn vind dan Android.
Je kan die PixelXL (zelfs met kapot scherm) nog voor behoorlijk wat geld verkopen, zolang die het maar doet. Die unlimited storage is sommige mensen nog wel wat geld waard, en is uniek aan de originele pixel. Ik had een Pixel 3, fijne telefoon maar gewoon fucked up veel hardware issues.
Vandaag wordt ios15 etc allemaal aangekondigd, er zal dan nog een GM of RC zoals vorig jaar komen.
De update zal hier ook vast dan in de tussentijd in zitten, om nu 1 dag snel een update te maken om vervolgens een dag later weer de volgende uit te rollen is een beetje overdreven(Daarom is het beta mag fouten bevatten hoe slecht onveilig de bugs ook zijn).

[Reactie gewijzigd door Carlos0_0 op 14 september 2021 09:01]

Ja ik zag ook dat er nog geen update voor de beta was. Kan dat ook zijn omdat dit niet speelt op iOS 15? Daar zitten natuurlijk al andere versies van Safari/iMessage/Mail in.

Verder kan ik niet veel vinden of dit issue ook specifiek op iOS 15 speelt. Hoe dan ook klopt het natuurlijk wat @Carlos0_0 zegt, waarschijnlijk komt na de aankondiging vanavond de GM of RC van iOS15 voorbij, daar kan de fix ook wel inzitten.
Is het nog wel een zero-day, nadat er patch is?
A zero-day is a computer-software vulnerability either unknown to those who should be interested in its mitigation or known and a patch has not been developed. Until the vulnerability is mitigated, hackers can exploit it to adversely affect programs, data, additional computers or a network.
kortweg is de juiste bewoording: Dit was een zero-day. Ondertussen is er inderdaad een patch.
Een zero day is maar een zero day totdat hij bekend is (ook al is hij dan nog niet gepatch't) dacht ik.

Het aantal "dagen" dat hij bekend is begint dan te tellen. En na x aantal dagen komt er dan een patch. Daarom ook het "zero" aan "Zero days", namelijk de bug is nog niet (of nul dagen) bekend geraakt.
Je hebt gelijk, ik heb het artikel veranderd naar verleden tijd.
Lieve redactie, stop eens met het geforceerd alles vertalen naar Nederlands. Het slaat nergens op, komt de leesbaarheid niet ten goede en is nergens voor nodig. De techwereld staat nu eenmaal bol van de Engelse termen, deal with it.

Ik heb beeldrenderbibliotheek eens geprobeerd te zoeken.

Google : geen resultaat
DuckDuckGo: geen resultaat
Bing: 1 resultaat .... dit artikel

[Reactie gewijzigd door Koffie op 14 september 2021 08:44]

komt door 'render'. Dat is ook engels. Dus het is een neder-engels-nederlands woord :)

'render' zal iets met 'weergave' te maken moeten hebben in dit geval

"beeldweergavebibliotheek" dan?
Weergave is iets anders dan 'renderen' ..
heb je een betere vertaling?
Dat nou ook weer niet nee ;) dus 'renderen' is denk ik de enige optie..
haha ik was oprecht nieuwsgierig, ik gebruik ook veel engels/nederlands door elkaar :)
Ik vind het eigenlijk wel een mooi woord, al is "beelrenderbibliotheek" niet echt de correcte vertaling. "grafische verwerkingsbibliotheek" zou wellicht correcter zijn.

Het is niet alsof niemand begrijpt wat hier staat, en "image processing library" is nou niet bepaald een veelgebruikte specifieke vakterm. Ik waardeer het juist wel als journalisten een beetje aandacht hebben voor de Nederlandse taal. Het is niet alsof men hier "processor" of "API" hier geforceerd vertaald heeft.
Zou die zich kunnen meten met schijflade en centrale verwerkingseenheid?
Mwah, ik heb wel eens een driver gezien voor een ‘video vang apparaat’, die was ook wel mooi :)
Bing is de beste zoekmachine.

Q.E.D.
Wat is een beeldrenderbibliotheek…..
Als je woorden gaat verzinnen, leg het dan ook even uit wat je mee bedoelt.

[Reactie gewijzigd door sokolum01 op 14 september 2021 08:32]

Een image rendering library. Zo moeilijk is dat toch niet...?
In andere artikelen waar wél Engelse woorden gebruikt worden, zie je juist weer mensen die vinden dat we in een Nederlandse omgeving zitten en dus alles maar Nederlands moet. Zo blijkt maar weer dat je niet iedereen blij kan maken.

Ik ben er redelijk neutraal in, zolang het verhaal (of woord) maar duidelijk is.
Ik heb nog altijd de ijdele hoop dat dit soort artikelen voor iemand met een tech achtergrond bedoelt zijn, niet voor jan de bouwvakker die iets over zijn iphone komt lezen.
Zeker waar, ik gok dat het dan ook een principe kwesties gaan en niet een taal barrière.
ideologisch zou je haast denken.
Het mag in de krant dat Bing überhaupt iets kan vinden.....
Vooral als ze dan maar 2/3e van een term gaan vertalen (want "renderen" met deze betekenis is ook niet echt een Nederlands woord), levert dat lastige dingen op.
Misschien vlaamse auteurs? Die willen toch zo min mogelijk vreemde woorden in het taalgebruik?
Waar haal je dat vandaan? Als ik artikels lees in Vlaamse media zie ik vaak gewoon engelstalige termen gebruikt worden en geen geforceerde vertalingen waar niemand ooit van gehoord heeft.

De enige plek eigenlijk waar ik het laatste tijd wel gezien heb is hier op Tweakers.net.
Het woord "misschien" en de twee vraagtekens zou je toch wel voldoende informatie moeten geven over de zekerheid waarmee ik post.
Dat woord werd helaas niet goed vertaald bij het inladen van stukken van andere sites :Y)
6 dagen nadat dit binnenkomt bij Apple hebben ze het al gefixt voor meerdere apparaten. Lekker vlot gedaan.
Nou Apple, waar kan ik die update voor m'n 2013 iPad ophalen?
Er is geen 2013 ipad niet onder die naam in ieder geval, de update is uitgegeven voor ios14 dus geld vanaf ipad air 2 die in 2014 is uitgekomen.
en zelfs dan 8 jaar oud,
Mag een keer ophouden.
Denk dat je achter het net vist, maar geen zorgen, als er echt kritieke updates zijn wordt de jouwe ook nog gewoon geüpdated hoor.
Klopt, tijdje geleden inderdaad nog een update gehad voor een of ander kritieks.
Ik durf wel te zeggen dat dit alleen financiële implicaties heeft voor het bedrijf. De volgende iteraties liggen waarschijnlijk al een tijdje op de plank. We hebben vanwege dezelfde groep al eerder dit jaar eenzelfde patch gehad en er zullen er vast nog wel een paar komen met hoe breed deze tool gebruikt word.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee