Beveiligingsonderzoeker: Apple negeert al maanden 3 ernstige zerodays in iOS 15

Apple negeert volgens een ontstemde beveiligingsonderzoeker drie door hem gemelde zeroday-kwetsbaarheden in iOS 15. Eén zeroday werd met iOS 14.7 gefixt, zonder hem daarvoor te belonen. Om zijn ongenoegen te uiten, deelt hij nu de details van de resterende kwetsbaarheden.

De beveiligingsonderzoeker, die zichzelf 'illusionofchaos' noemt, beweert tussen begin maart en begin mei vier aanzienlijke kwetsbaarheden te hebben ontdekt in Apples besturingssysteem, zo legt hij in een blogpost uit. Slechts één van de kwetsbaarheden zou gefixt zijn, alhoewel Apple volgens de onderzoeker niets over het voorval bekendmaakte. Hij kreeg ook geen beloning via het omstreden Security Bounty-programma van Apple. Na meerdere onbeantwoorde verzoeken voor uitleg besloot illusionofchaos de drie vooralsnog niet gedichte lekken te openbaren. Tot dusver heeft Apple nog niet inhoudelijk op de aantijgingen van de onderzoeker gereageerd.

Volgens illusionofchaos zou het in iOS 15 nog steeds mogelijk zijn om via de Game Center-app bij gevoelige gebruikersgegevens te komen. De betreffende zeroday zou het voor apps die geïnstalleerd zijn via de App Store mogelijk maken om toegang te krijgen tot de Core Duet-database. Daarin staan onder meer contacten, sms'jes, berichten en telefoonnummers. Ook het Apple ID-emailadres en de volledige naam van de gebruiker zouden op deze manier buitgemaakt kunnen worden. Ontwikkelaar Kosta Eleftheriou bevestigde dat er op deze manier inderdaad een exploit mogelijk is. Hij kwam eerder in het nieuws nadat hij Apple aanklaagde voor machtsmisbruik.

Illusionofchaos vermeldt in zijn blogpost daarnaast nog twee iets minder ernstige zerodays die Apple tot op heden niet behandeld zou hebben. De Nehelper Enumerate Installed Apps-zeroday geeft alle door de gebruiker geïnstalleerde apps de mogelijkheid om doelgericht te controleren of een specifieke app geïnstalleerd is op een iPhone. De Nehelper Wifi Info-kwetsbaarheid geeft door de gebruikers geïnstalleerde applicaties met toegang tot de locatiedata toegang tot huidige informatie over de wifiverbinding.

De enige door de onderzoeker gevonden kwetsbaarheid die vooralsnog verholpen is, is de Analyticsd-zeroday, waardoor door de gebruiker geïnstalleerde apps toegang hadden tot zeer gevoelige informatie. Onder meer medische gegevens, geslacht, leeftijd en andere sekse-gerelateerde data werd hierdoor toegankelijk. Illusionofchaos beweert dat Apple deze gebruikersdata om onbekende redenen verzamelt, wat zou botsen met diens nadrukkelijke focus op privacy.

Reacties (110)

lulkoekje 24 september 2021 21:21

When I confronted them, they apologized, assured me it happened due to a processing issue and promised to list it on the security content page of the next update. There were three releases since then and they broke their promise each time.
Quote uit de bewuste blogpost, best wel zorgwekkend. Het gaat duidelijk niet om slechts een miscommunicatie, maar dit is gewoon nalatig.

CompFrans @lulkoekje • 25 september 2021 09:21

Het meest onverstandige van Apple is wel "Tot dusver heeft Apple nog niet inhoudelijk op de aantijgingen van de onderzoeker gereageerd."
Ze hebben een hoop mensen die voor hun de beveiliging zitten uit te pluizen volgens een 'no cure no pay'-aanpak (of beter gezegd: not found no pay). Dat doen ze omdat het gunstig voor hun is.
Als iemand dan iets vindt is het
1. terecht en betaal je
2. niet terecht dat hij een beloning krijgt (bijv. omdat het al bekend was of niet klopt) maar dan vertel je wel waarom het niet zo is: doe je dat niet dan gaan andere onderzoekers Apple niet meer vertrouwen.
Hiermee gooit Apple zijn eigen glazen in (en het feit dat ze wel een programma hebben hiervoor geeft aan dat ze het willen en, omdat er genoeg gevonden wordt want geen software producent is immuun, het nodig hebben).

LurkZ @CompFrans • 25 september 2021 09:46

Hiermee gooit Apple zijn eigen glazen in (en het feit dat ze wel een programma hebben hiervoor geeft aan dat ze het willen en, omdat er genoeg gevonden wordt want geen software producent is immuun, het nodig hebben).

Je onderschat marketing. "Kijk eens hoe kort ons overzicht van uitbetalingen is. Onze software is dus super veilig!"

CompFrans @LurkZ • 25 september 2021 14:01

Heb jij ooit een lijst met uitbetalingen gezien? En de gemiddelde gebruiker?
Maar dit soort berichten komen echt wel aan bij de mensen die de beveiligingen onderzoeken. En actieve exploits zie je ook in de nedia verschijnen (een enkele keer zelfs bij de nos...)

4Reload @LurkZ • 25 september 2021 14:40

Deze onderzoeker zoekt het public op, hij zou ook een mail kunnen sturen naar de NSO groep en kijken wat die betalen voor 4 zero day's in Apple software...

Er komt een dag dat er een virus rond gaat wat elke iPhone problemen gaat geven en dan blijkt dat Apple niks deed met deze meldingen. Hoe mooi de lijstjes ook waren de PR ramp is dan niet te overzien...

Verwijderd @LurkZ • 25 september 2021 09:51

Dan zullen ze de marketing afdeling toch wel even grondig mogen herzien. Wanneer deze berichten doorstromen tot de gewone consument wordt de opgebouwde reputatie volledig teniet gedaan.
Maar je hebt gelijk, ze kunnen zichzelf wel serieus schouderklopjes geven op die manier.

Pliskin @Verwijderd • 25 september 2021 10:17

De gewone consument geeft hier geen zier om.

Elefant @CompFrans • 25 september 2021 23:53

Apple ligt vast net zo goed in bed met de NSA als MS of Google, Amazon, Intel etc. Ze kunnen miljarden verdienen door gegevens te verzamelen voor de NSA en de NSA/CIA toegang te helpen verkrijgen tot computers. De VS praat graag over de technologiediefstal van China maar in omgekeerde richting is die logischerwijs veel groter. China is sinds 2019 namelijk al de grootste aanvrager van internationale patenten en gebruikt grootschalig Amerikaanse systemen die als "veilig" worden voorgesteld, maar in praktijk altijd vele backdoors hebben waaronder zerodays. Wanneer die actief misbruikt worden door Amerikaanse veiligheidsdiensten, zijn ze van grote waarde en worden ze niet even snel gedicht. De onderscheid tussen criminele hackers en staatshackers is vaag. Geheime diensten zullen zich graag voordoen als buitenlandse criminelen of staatshackers. Zo slaan ze twee vliegen in een klap. Daar is nog een andere belang bijgekomen, namelijk cyber warfare. Het vermogen in tijd van oorlog de economie van andere landen plat te leggen via cyber attacks. Daarvoor moet je allerlei aanvalsmethoden ontwikkelen die weer gebaseerd zijn op zwakheden. Waar die in eigen OS en hardware moeten zitten, kan je die zelf stiekem inbouwen.

[Reactie gewijzigd door Elefant op 26 juli 2024 23:45]

m.z @lulkoekje • 24 september 2021 23:24

Een soortgelijke artikel stond laatst ook op security.nl: https://www.security.nl/p...pen+van+kwetsbaarheden%22

Ik weet niet hoe vergelijkbaar het zit bij andere, zoals een Microsoft, maar zie ook het niet altijd Windows goed gaan. Waarom ik het aangeeft? iOS/macOS wordt vaak als niet kwetsbaar gezien, maar dit idee zie ik laatste jaren afnemen.

To_Tall

@m.z • 25 september 2021 09:55

MS heeft heel veel goede stappen gezet
Met o.a. UAC. Nu veel gebruikers dit ook niet meer uitzetten is Windows ook niet altijd meer zo kwetsbaar. Tenzij de gebruikers niet lezen en altijd maar op toestaan/allow drukken.

Binnen de UX omgevingen was elke gebruiker al altijd gebruiker en geen admin elke systeem wijziging moest al geautoriseerd worden.

Dat is altijd een vorm van beveiliging geweest waardoor het OS minder makkelijk was aan te vallen.

Maar bugs, zeroday’s zijn er natuurlijk altijd al geweest. In welk OS dan ook.

MrFax @To_Tall • 25 september 2021 11:55

UAC is waardeloos: Iedereen drukt blindelings op "Ja/Yes" zonder er naar te kijken.

To_Tall

@MrFax • 25 september 2021 11:59

Dat is niet anders dan als je diezelfde gebruikers ook op UX systemen zet..

Verschil is wel dat veel UX gebruikers wel weten waar ze akkoord op geven maar veel windows gebruikers UAC vervelend vinden. En vaak geen idee hebben waarom er voor toegang gevraagd worden.

Dat wil niet zeggen dat UAC als beveiliging laag mislukt is. Zeker niet in het zakelijke segment, waar je gebruikers nu wel iets meer rechten kan geven, gezien UAC als beveiliging laag zijn werk wel doet.

Al heb je ook weer beheerders die UAC als storend ervaren en UAC weer uitzetten.

[Reactie gewijzigd door To_Tall op 26 juli 2024 23:45]

WizX @MrFax • 25 september 2021 12:00

Dat ben ik niet met je eens. Ik wordt vaak genoeg om hulp gevraagd door familieleden als ze een melding krijgen en het niet vertrouwen.

Sluuut @MrFax • 25 september 2021 15:03

Ik ben er anders wel blij mee. Als je een programma draait die elevated permissions nodig hebt dan zie ik dat liever met een keuze om het wel/niet te draaien, dan dat het automatisch met die permissies zou draaien.

m.z @To_Tall • 25 september 2021 12:59

UAC werkt inderdaad goed. Een gebruiker kan op privé apparaat gemakkelijk toestaan/annuleren klikken, maar dit is anders binnen organisaties, waarbij een gebruiker vaak een standaard user is en alleen de admin rechten heeft. In sommige gevallen tijdig kan verlenen.

Apps die wel op standaardniveau uit te voeren zijn, kunnen zelfs geblokkeerd worden en alleen via Store geïnstalleerd worden. Bij openen van onbetrouwbare apps, wordt nog waarschuwing weergegeven, beetje verglijkbaar als bij macOS; "Onbekende bron/uitgever".

Inderdaad een scheiding tussen gebruikerstype/accounts biedt al een degelijke bescherming.

Maar bugs, zeroday’s zijn er natuurlijk altijd al geweest. In welk OS dan ook.

100%. Deze zullen er inderdaad altijd blijven. Dus ook maar goed ook dat ook onafhankelijke hier in verdiepen, ontdekken en eerlijk aangeven.

obimk1 @lulkoekje • 25 september 2021 07:39

Het "stelen" van software van Apple waaraan hij refereert, noemen ze ook "Sherlokken", toen 15 jaar geleden de 1e Smartphones uitkwamen had je bv "Flashlights". Software om zoiets aan of uit te schakelen is niet echt geavanceerde software, en bepaalde softwarematige functies hebben Apple Google "ingebouwd" in hun respectievelijk besturing systemen.

"Predictive keyboards" zitten er al jaren in

[Reactie gewijzigd door obimk1 op 26 juli 2024 23:45]

RefriedNoodle @obimk1 • 25 september 2021 10:21

Ik zie niet zo snel de referentie naar predictive keyboards in dat artikel? Maar kan het zijn dat het niet gaat om de Apple Watch? Een developer heeft recent Apple voor de rechter gesleept omdat ze zijn predictive keyboard app hebben afgewezen en vervolgens native in watchOS hebben gebouwd.

obimk1 @RefriedNoodle • 25 september 2021 12:56

AW OS is afgeleid van IOS en "keyboard functionaliteit" is niet echt bepaald nieuw of innovatief. De eerste Apple Watch bestond al in 2014. En het scherm van Apple Watch is al eerder groter gemaakt.

En missende beloning voor het "ontdekken van een / meerdere ZeroDay exploit" staat hier los van.

[Reactie gewijzigd door obimk1 op 26 juli 2024 23:45]

tom.cx @lulkoekje • 24 september 2021 22:09

Laatst is er ook bericht geweest dat Apple moeite heeft met het op tijd oplossen / dichten van lekken volgens The Washington Post.

"Lack of communication, confusion about payments and long delays have security researchers fed up with Apple’s bug bounty program"

"But many who are familiar with the program say Apple is slow to fix reported bugs and does not always pay hackers what they believe they’re owed. Ultimately, they say, Apple’s insular culture has hurt the program and created a blind spot on security."

Bericht op The Washington Post

[Reactie gewijzigd door tom.cx op 26 juli 2024 23:45]

Daoka @Gerard1970_ • 25 september 2021 10:11

Ik denk dat ze niet even snel mensen kunnen inhuren. Ik denk dat ze errst een veiligheid controle krijgen. Je en Apple willen natuurlijk niet dat ze rommelen met de code. Expres bugs erin zetten, bepaalde code dat hun data krijgen van elke telefoon of een code dat hun kunnen meekijken/besturen van jouw apparaat. Of dat ze de software stelen en hierdoor bepaalde beveiligingen kunnen breken en dit doorverkopen.

Ook kost het veel tijd om even uit te zoeken hoe de software opgebouwd is. Het is niet zoals de films dat iemand 10 seconden een code ziet en gelijk alles snapt en kan herschrijven. Nou ja misschien bij simpele dingen zoals de rekenmachine.

Gerard1970_ @Daoka • 25 september 2021 10:32

Had het meer over uitbetalen etc. Want voor de technische gedeelte kan ik het wel begrijpen.

TheVivaldi @Daoka • 25 september 2021 12:19

Dat kan wel zo zijn, maar beloof dan niet tot 3 keer toe (zie bericht aan het begin van het draadje) dat het in de volgende update wordt opgelost als je niet weet of je het kunt waarmaken.

[Reactie gewijzigd door TheVivaldi op 26 juli 2024 23:45]

Carbon 25 september 2021 11:16

De reactie van Apple heeft niet lang op zich laten wachten

We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you.
We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance.
Please let us know if you have any questions.

Duidelijk gevalletje van mis/geen communicatie naar de persoon die de exploit heeft gerapporteerd
En dit is niet de errste keer, het wordt tijd dat Apple het proces stroomlijnt

De exploits:

Als je kijkt naar de 0-day PoC code dan zie je meteen dat het niet om 4 exploits maar gaat maar 4 voorbeelden hoe je via interprocess communicatie toegang kunt krijgen tot bepaalde system services
Dat maakt het probleem niet ninder ernstig maar wel minder sensationeel

Het heeft er alles van weg dat Apple in iOS-15 een quick fix heeft gedaan voor de analytics omdat die mogelijk toegang geeft tot de meest gevoelige informatie

Dat Apple meer tijd nodig heeft om het probleem structureel op te lossen is dan ook niet zo vreemd, maar wees transparant en informeer de persoon die de exploit heeft gerapporteed

[Reactie gewijzigd door Carbon op 26 juli 2024 23:45]

Verwijderd @Carbon • 26 september 2021 10:28

Apple introduceert geen bugs in software. Ze maken ook geen fouten. Ze introduceren features. Maar dat snappen de meesten niet.
Apple weet altijd alles beter, zowel wat goed voor het bedrijf is als voor de consument. Dat ziet de kortzichtige consument niet altijd.
Apple heeft geen budget om kleine onnozelheden op te lossen. De consumenten in het eco-systeem gaan door vuur voor ons, dus ze zijn tevreden met "As it is".
Apple wil best de features, die door anderen als bugs en zerodays worden bestempeld, best aanpassen. Maar dan moet Apple de commisie verhogen naar 45%. "Dat is een beetje op het randje, toch?"

[Reactie gewijzigd door Verwijderd op 26 juli 2024 23:45]

Carbon @Verwijderd • 26 september 2021 16:11

Take a chill pill

Wim Cossement 25 september 2021 14:47

Iedereen die nu nog zit te pochen over zijn ommuurde tuin als ecosysteem en het argument veiliger gebruikt want ze hebben er meer controle over en dies meer mag eerst eens wat gaten in zijn muur laten repareren...

Vlizzjeffrey 24 september 2021 21:07

Jammer dat Apple eerst hem onterecht zijn beloning niet moet geven voor de zero day ontdekking eer hij zich uitspreekt over een ander veel groter probleem, maar ergens ook wel te begrijpen natuurlijk, hij kon niet vooraf weten dat Apple het zo lang zou negeren.

useruser @Vlizzjeffrey • 24 september 2021 21:23

Ik heb dit 2x gehad met Microsoft. Gemeld, afgewezen want geen securitybug, volgende patchronde was het gefixed...

HKLM_ @useruser • 24 september 2021 21:41

Oprechte interesse maar kan het niet zijn dat iemand anders jouw bug ook gemeld heeft en ze daar mee verder zijn gegaan? Of werkt dat niet zo in die business?

WhiteDog @HKLM_ • 24 september 2021 21:48

Je zou verwachten dat ze dan alsnog een CVE of andere bug id aanmaken, er een bedrag opplakken en credits geven aan degene die het eerst gemeld heeft.

Kijkend naar hoe obscuur / vergezocht de meeste vulnerabilities zijn lijkt mij de kans vrij klein dat twee mensen tegelijk op hetzelfde probleem stuiten. Vergezocht = vaak veel tijd en werk ingestoken om het te ontdekken, dus dient zeker gecompenseerd te worden.

Finraziel

@useruser • 24 september 2021 21:51

Maar waren het dan wel security issues volgens jou? Want als ze alleen op security issues bounties bieden maar jij komt met andere bugs, moeten ze het dan naar niet fixen omdat ze jou er niet voor betalen?

Ik val je niet aan hè (zo klinkt het misschien), ik heb alleen het idee dat ik een stuk van het verhaal mis hier.

Power2All @Finraziel • 24 september 2021 22:22

Het is sowieso goedkoper om een 'mogelijke' security bug als geen security issue te bestempelen. Gewoon alle communicatie delen e.d. zodat er wat meer push gegeven kan worden op de methodes die MS en Apple hanteren...

Fluttershy @useruser • 25 september 2021 01:54

Puur uit interesse, hoe kom je achter dit soort dingen? Toeval of gezocht als white hat?

En wat zijn de meest voorkomende security issues waar ontwikkelaars/beheerders iets van kunnen leren?

Mopperman @Fluttershy • 25 september 2021 08:48

Het ligt aan de casus. Sommige software vallen bugs snel op door productie gebruik. Andere bugs komen voor door een bepaalde werkwijze (bijv. Via een omweg of verkorte weg dezelfde actie doen).

Andere komen aan het licht door bijv. Specifiek test scenario’s en dergelijke acties.

RAAF12 @Vlizzjeffrey • 24 september 2021 21:18

Dat weet je nooit 100% zeker omdat er bij bewijsvoering hoor en wederhoor nodig is.

Stijnvi @Vlizzjeffrey • 25 september 2021 07:09

Ik begrijp het wel, en waardeer het zelfs
De voorwaarde voor de bounty is namelijk sowieso dat je het eerst aan Apple laat weten
Maar veel belangrijker is dat binnen de cybersecurity het gebruikelijk is om een bedrijf een realistische termijn te geven om de problemen te fixen
Dit wordt responsible disclosure genoemd
Publiceer je een issue te vroeg, dan stel je mogelijk enorm veel gebruikers bloot aan het probleem
En hoewel er in dit geval nog niet eens instructies worden gegeven over hoe de vulnerability werkt, worden wel de doelwitten benoemd
Dat maakt het voor hackers al een stuk makkelijker om misbruik te maken van de informatie

gaskabouter 24 september 2021 21:01

Neemt het aantal beveiliging issues nu zo toe bij Apple? Ze lijken ook wat laconiek te zijn geworden?

Is toch één van hun usp's? Of wordt steeds duidelijker dat de data het product zijn, ook bij Apple?

[Reactie gewijzigd door gaskabouter op 26 juli 2024 23:45]

GenomDalar1983 @gaskabouter • 24 september 2021 21:16

Meer gebruikers = meer 'onderzoekers' = meer zichtbare issues.

Zomaareenmening @GenomDalar1983 • 25 september 2021 00:23

Haha, ja ze zijn pas in de afgelopen twee jaar groot geworden..

AibohphobiA BoB

@Zomaareenmening • 25 september 2021 11:21

Precies dat en Apple heeft de beveiliging (en dus de gebruikers) nooit serieus genomen.

Met dank aan @fapkonijntje voor de lijst.
Alsof het zo lastig is om dat even op in ieder geval één andere taal te checken.
Rebooten we nooit tijdens een test?
Jammer dat hier het resultaat nog niet van zichtbaar is. Maar ze geven zelf ook aan dat er iets mis is.
Ik bedoel, hoe zeldzaam is zomertijd nou echt?
Weinig schijfruimte is toch een erg voor de hand liggend mogelijk issue?
Basale functionaliteit die je zou moeten testen bij het maken van zo'n feature toch?
Duh...
De bug heeft niet veel impact, maar dit is letterlijk het enige dat die functionaliteit moet doen, nooit naar gekeken, gewoon naar productie?
Is dit niet een beetje onderdeel van je eerste testcases die je verzint?
Deze week

fapkonijntje @Zomaareenmening • 25 september 2021 12:22

Het is wel iets genuanceerder dan dat hè. Er tellen veel factoren mee waarom Apple nu wat kritischer bekenen wordt.

Android is heel lang zo lek als een mandje geweest. Die kreeg dus alle aandacht. Apple bood in theorie een veilig alternatief, maar dat was vooral omdat de lat erg laag lag, niet omdat Apple het zo goed deed.

Apple heeft ook heel lang veel profijt gehad van de basis waarop ze software hebben gebouwd. BSD en Unix waren by design wat veiliger. De meeste problemen die er nu zijn, zitten volledig in de door Apple zelf ontwikkelde software. Niet zozeer in de architectuur en de onderliggende open source software, maar het laagje dat Apple erop legt.

Apple heeft heel lang eigenlijk heel weinig aan hun software gedaan. Veel lessen uit het verleden die ze bij Google en Microsoft geleerd hebben, zijn nooit geland bij Apple. Android is veiliger geworden door kritische gebruikers en de wens van Google, Samsung en anderen om de boel beter te beveiligen. Hier is veel aandacht, tijd en geld in gestoken en de architectuur van Android is aardig op de schop gegaan. iOS heeft nooit een herziening of wijziging op dat vlak gehad. De basis is hetzelfde als de eerste Iphones. Lessen als het verwijderen van systeem apps uit het OS doet Microsoft en Google nu goed. De meeste Apple apps zijn nog steeds onderdeel van het OS en dat is een risico.

Niet om vervelend te klinken, maar Apple heeft sinds jaar en dag al een strategie die volledig op winstoptimalisatie ligt. Alles dat geld oplevert besteden ze tijd aan. Alles dat geld kost proberen ze te vermijden. Dat merk je aan de hardware, software, enzovoorts. Randzaken bij Iphones zoals microfoons zijn altijd al van heel lage kwaliteit geweest, tenzij het belangrijk werd voor de marketing. Idem voor de constructie van MacBooks en imacs. Meer poorten is gewenst door sommige gebruikers maar netto gaan ze er niets meer of minder door verkopen. Dus gaan ze ze ook niet inbouwen want dat kost geld. Maar dit is ook waarom testen zo weinig aandacht krijgt. Minder ontwikkelen is goedkoper dan meer testen. Ze doen alleen het nodige en verder niets.

Daar komt ook bij dat Apple een echte cult lijkt soms door het gedrag van de fans. Kritiek op Apple werd regelmatig hard de kop in gedrukt. Apple zelf is daar ook schuldig aan door hun houding. De eerste reactie op antenna gate van Apple was dat je als gebruiker de telefoon verkeerd vast had. Moet Microsoft of wie dan ook eens proberen te zeggen. Op dit moment lijkt die fanbase iets te minderen, want ook die kunnen niet meer ontkennen dat Apple niet zo lekker bezig is. Maar nieuw is het echt niet. Het is nu alleen veel zichtbaarder door de hardere focus op security en de budgetmanier waarop Apple software heeft gebouwd.

Het probleem was er altijd al, maar nu is het veel zichtbaarder geworden door sterkere concurrentie, die z'n zaakjes wat meer op orde heeft en een overall meer kritische houding tegenover grote bedrijven die als enige bestaansrecht hebben dat ze geld van je willen zien.

THETCR @gaskabouter • 24 september 2021 21:31

De issues nemen niet per se toe.
Voor proprietary software zoals die van iOS is er geen openbare repository.

Daardoor weet je alleen van het bestaan van beveiligingslekken af wanneer het bedrijf dat zelf kenbaar maakt of een externe ontdekker dat openbaart. Daarnaast zullen kleine code fouten die interne ontwikkelaars tegengekomen en gelijk oplossen niet op de changelog eindigen.

Hier is een lijst met openbare CVEs die via bijvoorbeeld projecten zoals HackerOne zijn gevonden:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apple

jpfx @THETCR • 25 september 2021 09:25

Dus feitelijk is de USP security through obscurity. Op zich wel vreemd dat Apple schijnbaar zo langzaam reageert op toch wel redelijk ernstige lekken en op deze wijze met de "boodschappers" om lijkt te gaan.

moonlander 25 september 2021 00:53

Ze zijn gewoon te groot geworden. Kom dan maar eens in contact met die bedrijven. En dat zie je vaak bij bedrijven die te groot worden. Laatst ook bij een bank in Nederland, security issue gevonden maar kom maar niet in contact met de juiste persoon. Het ligt aan mijn pc, ik moet de cookies wissen en andere browser proberen. Is dan het antwoord

Pas na 2 weken kreeg ik eindelijk serieus antwoord: ticket gesloten. Issue bestaat nog steeds, geen idee wat ik er mee moet doen.

WhatsappHack

Apple
Apple iPhone
Privacy
Apple iOS
Beveiliging en antivirus

@moonlander • 25 september 2021 01:18

Banken hebben veelal een adres voor responsible disclosure. Als je de klantenservice gaat bellen dan kom je geen stap verder nee.

Cerberus_tm

@WhatsappHack • 25 september 2021 05:00

Dat is toch belachelijk? Als buitenstaander hoef je niet te weten hoe de interne structuur van een groot bedrijf in elkaar zit: de klantenservice moet je gewoon doorverbinden met de juiste afdeling of zelf de melding doorgeven met contactgegevens melder erbij.

Triblade_8472 @Cerberus_tm • 25 september 2021 08:56

Precies! Ook callcenter medewerkers zouden moeten weten wat zij hiermee aanmoeten! Doorverwijzen kan prima hoor.

TheVivaldi @Triblade_8472 • 25 september 2021 12:29

Inderdaad. Het maakt geen zak uit of de callcenterpersoon er iets van weet; doorsturen kan altijd.

Splorky @TheVivaldi • 25 september 2021 15:32

Ik vermoed dat de suggestie dat bijvoorbeeld de app een beveiligings probleem heeft in alle toon aarde wordt ontkent. Want dat kan namelijk niet, onze app is veilig. (In ieder geval mijn ervaring toen de bank nog een gebouw was met mensen achter de balie)

jabwd @Cerberus_tm • 25 september 2021 11:56

Vind dat opzich meevallen. Maar als ik nu snel even kijk bij de ING hebben ze al geen security.txt dus een goed kanaal is niet snel gevonden al. Geen idee hoe dat bij andere banken zit maar dit zou dus er al bij 1tje beter moeten.

Spockz @jabwd • 25 september 2021 13:21

De security.txt kende ik nog niet maar eerste hit op Google met “ing report security”: https://www.ing.com/ING.com-Security.htm

Reporting a vulnerability
You can report a vulnerability by sending an e-mail to: responsible-disclosure@ing.com. A prerequisite for sending an e-mail to the above-mentioned e-mail address is that you use the public PGP key (zip). Please write your report in a clear and concise way, including the following in particular:

WhatsappHack

Apple
Apple iPhone
Privacy
Apple iOS
Beveiliging en antivirus

@Cerberus_tm • 25 september 2021 16:13

Die afdelingen zijn telefonisch normaliter niet te bereiken. Don’t call us, we’ll call you. En dat is volstrekt logisch. De klantenservice kan uiteraard wel netjes even het e-mailadres verstrekken, maar hen de melding aan laten nemen zoals je voorstelt lijkt me een heel slecht plan. Hoe zie je dat voor je? “Een ex… explosie? Exploot? Hoe spel ik dat? Exploit, aha. Wat voor overflow!? Je bent zelf een buffel, mafkees!!”. Dat gaat gewoon niet werken.

Gewoon per e-mail werkt prima en die adressen zijn imho heel makkelijk te vinden. De KS trainen op het aannemen van complexe technische zaken en dat telefonisch afhandelen werkt gewoon niet.

Cerberus_tm

@WhatsappHack • 26 september 2021 03:49

Zoals ik zei, melding gewoon doorgeven.

Triblade_8472 @moonlander • 25 september 2021 08:57

Had ik ook met een grote gameuitgever en de inlogpagina met two factor authentication. Ik kon erin zonder code!

Maar alles lag aan mij en basta...

Nou, success daarmee dan...

BruceLee @moonlander • 25 september 2021 08:40

Publiek gooien.

Triblade_8472 @BruceLee • 25 september 2021 08:55

Ja leuk en dan aangeklaagd worden.

WhatsappHack

Apple
Apple iPhone
Privacy
Apple iOS
Beveiliging en antivirus

24 september 2021 21:23

“leeftijd en andere sekse-gerelateerde data werd hierdoor toegankelijk. … dat Apple deze gebruikersdata om onbekende redenen verzamelt …”

Die data vul je zelf toch in in je profiel? Apple heeft een optie om wel of niet op basis van gender (man, vrouw, zelf-geïdentificeerd of “anders”) de App Store en andere ervaringen ‘te personaliseren’ als je dat wil. (Standaard is dit leeg.) Hier zijn ze vrij helder over en je moet zelf die velden invullen als je er gebruik van wil maken. Ben benieuwd waarom het verzamelen van die data door Apple “in strijd zou zijn met de focus op privacy die Apple heeft”, ze dwingen je niet om het in te vullen; is een optioneel veld. Een leeftijd invullen is wel verplicht. (Ivm minderjarigen e.d.).

Dat die data vermeend toegankelijk is geweest is wel een probleem uiteraard, maar de verzameling door Apple: ja eh, als je niet wilt dat ze weten wat je geslacht/gender is: vul het dan niet in?

[Reactie gewijzigd door WhatsappHack op 26 juli 2024 23:45]

THETCR @WhatsappHack • 24 september 2021 21:36

Waarschijnlijk wordt hier bedoeld dat de specifieke daemon dat ongeacht jouw instellingen deed. Mocht dat zo zijn dan kon het wel is in strijd zijn met de GDPR.

KoffieAnanas @WhatsappHack • 24 september 2021 22:12

Dit is het niet-uitputtende lijstje met gegevens waar apps toegang toe konden krijgen.

• medical information (heart rate, count of detected atrial fibrillation and irregular heart rythm events)
• menstrual cycle length, biological sex and age, whether user is logging sexual activity, cervical mucus quality, etc.
• device usage information (device pickups in different contexts, push notifications count and user's action, etc.)
• screen time information and session count for all applications with their respective bundle IDs
• information about device accessories with their manufacturer, model, firmware version and user-assigned names
• application crashes with bundle IDs and exception codes
• languages of web pages that user viewed in Safari

[Reactie gewijzigd door KoffieAnanas op 26 juli 2024 23:45]

Rhinosaur 24 september 2021 22:29

Echt alles aan Apple dit jaar doet vermoeden alsof ze een heel slecht jaar hebben gehad. Het is allemaal zo inspiratieloos en het voelt zo leeg aan. Naast gewoon een serie totaal geen indrukwekkende producten en uitgestelde features ook veel gedoe om thuiswerken/kantoorwerken, interne klachten, de half verloren rechtszaak met Epic, de iCloud foto library scanning, gedoe om standaardapps en de bijbehorende machtsmisbruik, lekkende memo's en nu dit weer.

[Reactie gewijzigd door Rhinosaur op 26 juli 2024 23:45]

Verwijderd @Rhinosaur • 26 september 2021 10:34

Echt alles aan Apple dit jaar doet vermoeden alsof ze een heel slecht jaar hebben gehad.

Ja, heel slecht. U mag verder naar de volgende ronde!

Het is allemaal zo inspiratieloos en het voelt zo leeg aan.

"We are blessed that we have Isheep. They don't see the lack of inspiration and quality".

[Reactie gewijzigd door Verwijderd op 26 juli 2024 23:45]

iSpaceman 24 september 2021 22:49

Ik ben benieuwd of deze exploits tot een snelle iOS 15 jailbreak gaat leiden

WhatsappHack

Apple
Apple iPhone
Privacy
Apple iOS
Beveiliging en antivirus

@iSpaceman • 25 september 2021 01:17

Geen van deze kwetsbaarheden is daar voor geschikt.

LurkZ @iSpaceman • 25 september 2021 09:57

Dan was het al gepatched.
Enkele jaren geleden lukte het Apple niet een bug te fixen. Ik meen dat het iets was waarmee je een gelokte telefoon zonder pin kon ontgrendelen oid.
Zeer kort na een jailbreak kwam Apple met een patch voor het ontgrendelen. De jailbreak werkte niet meer maar het ontgrendelen was nog steeds niet volledige gefixed. Dat heeft zich 3x herhaald.
Kortom, Apple was alleen snel en effectief als het geld koste.

tapkcir 24 september 2021 21:56

Gewoon op twitter laten zien hoe je ze misbruiken kan. Doen ze bij lekken in Openoffice ook.

Carbon @tapkcir • 25 september 2021 11:48

Gewoon op twitter laten zien hoe je ze misbruiken kan. Doen ze bij lekken in Openoffice ook.

PoC code is openbaar zie de blog van illusionofchaos

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (110)

Sorteer op:

Weergave: