Apple zet Lockdown-modus in iOS 16 en macOS 13 in tegen cyberaanvallen

Apple heeft een Lockdown-modus gepresenteerd voor iOS 16, iPadOS 16 en macOS 13. Mensen die zich zorgen maken over gerichte cyberaanvallen, kunnen die aanzetten. Het beperkt de functionaliteit van een apparaat en maakt daardoor de mogelijkheid voor aanvallen kleiner.

De modus beperkt functies die kwaadwillenden gebruiken om aanvallen op apparaten uit te voeren. Zo zijn bijlagen bij berichten in de Berichten-app uitgeschakeld en in de browser is just-in-time JavaScript-compilatie niet mogelijk, zegt Apple.

De optie is voor een kleine groep gebruikers die te maken heeft met geavanceerde cyberaanvallen. Het gaat daarbij om bescherming tegen spyware van onder meer de NSO Group, waartegen Apple een rechtszaak heeft lopen. Het gaat ook om andere door landen gesponsorde spywareaanvallen, zegt de fabrikant.

De Lockdown-modus zal te vinden zijn in het Privacy & Beveiliging-gedeelte van het Instellingen-menu. Het zal erin zitten vanaf de release van iOS 16, iPadOS 16 en macOS 13 vanaf dit najaar.

Beperkingen Lockdown-modus
App Beperkingen
Safari 'Bepaalde' geavanceerde webtechnieken zoals JIT-compilatie van JavaScript zijn geblokkeerd
Facetime Binnenkomende oproepen van onbekende nummers worden geblokkeerd
Foto's Binnenkomende uitnodigingen voor gedeelde mappen worden geblokkeerd
Beheer Nieuwe configuratieprofielen en MDM-enrollments zijn onmogelijk (huidige blijven behouden)
Berichten Bijlages behalve foto's worden geblokkeerd. Ook link previews werken niet
Apple Lockdown-modus
Apple Lockdown-modus

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 07-07-2022 06:48
41 • submitter: robcoenen

07-07-2022 • 06:48

41

Submitter: robcoenen

Lees meer

Rechtbank VS: NSO Group is aansprakelijk voor WhatsApp-hack
Rechtbank VS: NSO Group is aansprakelijk voor WhatsApp-hack Nieuws van 21 december 2024
'Apple kan gedrag van alle App Store-gebruikers volgen met unieke ID'
'Apple kan gedrag van alle App Store-gebruikers volgen met unieke ID' Nieuws van 22 november 2022
Apple werkt aan functie die iPhone in VS zoveel mogelijk met groene stroom laadt
Apple werkt aan functie die iPhone in VS zoveel mogelijk met groene stroom laadt Nieuws van 13 september 2022
Apple laat gebruikers automatische iOS 16-beveiligingsupdates terugdraaien
Apple laat gebruikers automatische iOS 16-beveiligingsupdates terugdraaien Nieuws van 13 september 2022
'Websites kunnen Lockdown-modus in iOS 16 eenvoudig detecteren'
'Websites kunnen Lockdown-modus in iOS 16 eenvoudig detecteren' Nieuws van 25 augustus 2022
Vijfde bèta van iOS 16 bevat accupercentage-indicator in statusbalk
Vijfde bèta van iOS 16 bevat accupercentage-indicator in statusbalk Nieuws van 9 augustus 2022
Apple maakt eerste publieke bèta van iOS 16 en iPadOS 16 beschikbaar
Apple maakt eerste publieke bèta van iOS 16 en iPadOS 16 beschikbaar Nieuws van 11 juli 2022
Kuo: voortaan krijgen alleen Pro-iPhones nog nieuwste socs
Kuo: voortaan krijgen alleen Pro-iPhones nog nieuwste socs Nieuws van 6 juli 2022
Europees Parlement stemt in met DSA en DMA die 'poortwachters' reguleren
Europees Parlement stemt in met DSA en DMA die 'poortwachters' reguleren Nieuws van 5 juli 2022
Bloomberg: Apple Watch krijgt mogelijk thermometer om koorts vast te stellen
Bloomberg: Apple Watch krijgt mogelijk thermometer om koorts vast te stellen Nieuws van 4 juli 2022
'AMD, Apple en Nvidia willen minder chips afnemen van TSMC'
'AMD, Apple en Nvidia willen minder chips afnemen van TSMC' Nieuws van 1 juli 2022
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Apple iPhone iPad macOS

Reacties (41)

-Moderatie-faq
41
40
17
1
0
16
Wijzig sortering
DigitalExorcist 7 juli 2022 06:57
“Nadeel” hierbij is dat je geen MDM-profielen meer kan gebruiken. Messaging en mail worden beperkt en je kan bijv alleen nog communiceren met iemand als je zelf initieert - dus geen random FaceTime meer ontvangen etc.

Al met al een nuttig systeem voor diegenen die er behoefte aan hebben. Het grote publiek hóeft dit niet te gebruiken, het is gewoon optioneel. Wel fijn dat hier serieus over nagedacht wordt.
Nindustries @DigitalExorcist7 juli 2022 07:22
Ter info, nieuwe MDM enrollments zijn verboden (which makes sense, profielen installeren is ook een attack vector). Huidige MDM enrollments blijven behouden.
Zsub @Nindustries7 juli 2022 08:04
@arnoudwokke Dat lijkt me eventueel zinvol om in de tabel op te nemen. Ik zat me al af te vragen hoe het handig was om MDM uit te schakelen voor iemand die doelwit van geavanceerde aanvallen kan zijn :)
DigitalExorcist @Nindustries7 juli 2022 12:36
Ja ok, da's wel een handige nuance.
Anoniem: 113730 @DigitalExorcist7 juli 2022 08:09
Kan je werkgever met MDM niet bewust of per ongeluk je hele apparaat resetten en alles wissen!? Z’n telefoon kan je dus geen privé data toevertrouwen.
HKLM_ @Anoniem: 1137307 juli 2022 08:17
Er zijn meerdere opties voor een werkgever. Het hangt af van hoe de telefoon in MDM enrolled is. Als ik Intune als voorbeeld neem dan kan je bij een Iphone / ipad supervisor modes activeren (hiervoor moet de telefoon wel in Apple business zitten) het is dan mogelijk om de gehele telefoon te wipen / resetten.

Maak je gebruik van de company portal app of alleen de MAM policy’s dan kan je als werkgever ook een reset uitvoeren maar verwijderd deze alleen je company data en blijft de rest behouden.
DigitalExorcist @HKLM_7 juli 2022 12:37
Yep. Die éérste gebruik je als de hele telefoon gejat is en je tóch al niks meer aan die data hebt, die tweede optie kun je doen als je van werkgever wisselt maar wel je eigen toestel behoudt.
Destynx @Anoniem: 1137307 juli 2022 08:51
Soms zijn zakelijke telefoons een groter doelwit in het geval van cyberaanvallen dan privé telefoons. Bedrijfsdata kan veel meer waard zijn dan persoonlijke foto's of andere privé gegevens.
bvdli @DigitalExorcist7 juli 2022 12:05
je kunt wel mdm profielen gebruiken. In de "secure mode" kun je echter geen nieuwe profielen installeren.
Argantonis @Anoniem: 1137307 juli 2022 08:37
Zeker fijn, maar wel jammer dat het z’n ‘grof geschut’ optie is in plaats van een meer subtiel in te stellen iets.

Blijkbaar wil / kan Apple iOS niet op een andere manier volledig beschermen tegen de spyware van de NSO groep.
Jammer van de 'wil' opmerking. Wat een complotdenken is dat weer. Het is ontzettend moeilijk om je constant tegen malware te beschermen, er is geen enkele partij die daar niet vatbaar voor is.
Anoniem: 113730 @Argantonis8 juli 2022 10:42
Achter wil zit geen complot denken dat je dat er in ziet, zegt meer over jou dan mij, als er 'mag' had gestaan had je misschien een punt gehad.

Wat ik bedoel is dat ze kiezen voor 'grof geschut’ ipv iets te maken wat meer subtiel is...
Argantonis @Anoniem: 1137308 juli 2022 11:23
Fair enough. Overigens heb ik je geen -1 gegeven.
Tweakert2020 @Argantonis7 juli 2022 09:17
Is alles ineens een complot als je denkt dat een bedrijf iets niet zou willen implementeren?
Kriekel @Tweakert20207 juli 2022 09:41
Met deze modus zetten ze nuttige opties preventief uit. Niet om een specifieke hack te voorkomen, maar omdat deze methoden extra gevoelig zijn voor potentiële hacks. Ze blijven natuurlijk wel doorzoeken naar beveiliging bugs in de reguliere modus.
Tweakert2020 @Kriekel7 juli 2022 09:58
Ik weet het :)
WhatsappHack
@Anoniem: 1137307 juli 2022 21:14
“op een andere manier volledig beschermen tegen de spyware van de NSO groep.”

Dit zal ook geen volledige bescherming bieden. 100% veiligheid bestaat niet en hoe complexer/multi-functioneler het apparaat: hoe groter de attack surface. Door deze modus te activeren reduceer je de attack surface, maar ben je niet opeens immuun voor aanvallen (via 0days), lekken, etc.. Het gaat ook niet enkel om de NSO Group. Dat mochten ze willen. ;)
sapphire 7 juli 2022 08:33
Als ik dit lijstje zo zie zou ik het bijna preventief aanzetten. Niet dat ik verwacht gericht aan gevallen te worden maar meer omdat 'het kan' en ik weinig er van zal merken :?

Facetime nooit gebruikt, berichten app gebruik ik zelden, geen gedeelde mappen en geen MDM profielen, hooguit dus JIT voor Javascript maar wel een iets meer dichtgetimmerd systeem :p
bzzzt
@sapphire7 juli 2022 08:55
Ik vermoed dat de meeste websites zonder Javascript JIT richting onwerkbaar traag gaan worden, dus hoezo niks van merken?
sapphire @bzzzt7 juli 2022 08:59
Ik gebruik geen Safari en ik geef ook aan dat ik hooguit JIT voor Javascript wél ga merken.
cornedor @sapphire7 juli 2022 10:15
Andere browsers op iOS gebruiken de zelfde engine, ik ga er vanuit dat daar dan ook JIT uit gezet zal zijn.
gitaarwerk @bzzzt7 juli 2022 11:25
Kan je wel lekker code mee optimaliseren denk ik zo :Y)
bvdli @bzzzt7 juli 2022 12:04
Tegenwoordig is dit geen probleem meer, althans niet op recente hardware. Misschien meetbaar maar niet merkbaar.
JIT wordt vaker disabled vanwege beveiligingsredenen. Zie ook Google zero en Microsoft edge secure mode publicaties over dit onderwerp.
bzzzt
@bvdli7 juli 2022 15:17
Dat ligt er natuurlijk maar helemaal hoeveel Javascript code een site bevat en wat die allemaal doet. Vooral op nieuwssites die bomvol reclame banners zitten en in applicaties die in puur Javascript gebouwd zijn ga je echt wel verschil merken.
MacGuyver @bzzzt8 juli 2022 07:36
Een white-list systeem lijkt me nuttig: JIT aan voor vertrouwde sites, JIT uit voor niet eerder bezochte/andere sites. Mooie middenweg.

En enkel de code van het website domain compiled dan JIT, niet die van extern ingeladen code zoals reclame-banners etc.

[Reactie gewijzigd door MacGuyver op 23 juli 2024 11:26]

Bas @sapphire7 juli 2022 10:06
Ik dacht er net zo over, zeker voor mijn prive telefoon. Mijn werk telefoon is misschien een ander verhaal (al twijfel ik daar zelfs nog)
Dreamvoid @sapphire7 juli 2022 12:26
Javascript uitzetten is erg goed voor de security en de performance, maar helaas zijn een hoop websites onbruikbaar zonder Javascript, erg irritant. Gelukkig werkt Tweakers wel zonder javascript.

Eigenlijk zou dit standaard moeten zijn voor alle websites, een JS-vrije versie - maar zelfs de overheid houdt zich daar niet aan.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 11:26]

swhnld 7 juli 2022 07:06
Ik had het fijn gevonden dit individueel aan te kunnen zetten, zoals de berichten bijlages uit, maar jit en mdm aan.
Gewoon omdat bijlages bij berichten bij mij altijd troep is, maar jit nodig is voor veel websites om te functioneren.
Mdm is dan weer nodig voor werkmail.
In dat geval ben je toch iets veiliger zonder helemaal in lockdown mode te gaan.
GertMenkel
@swhnld7 juli 2022 07:20
In mijn ervaring is JIT lang niet per se nodig, tenzij je veel gebruik maakt van slechtgebouwde React-gedrochten. Met wat inspanning zijn zelfs de zwaardere frontendframeworks prima te draaien met slechts interpretatie in plaats van JIT.

Ik draai zelf nog wel eens Bromite als Firefox kuren heeft (op Android, waar alternatieve browserengines gelukkig een optie zijn) en daarin heb ik JIT ook standaard uit staan. De meeste sites werken echt prima eigenlijk, alleen bij webgames en zware grafische interfaces merk je dat de telefoon wat moeite heeft. Safari moet wel heel slecht zijn als je er in het dagelijks leven daadwerkelijk iets van merkt.

Met een beetje geluk brengt lockdown modus mensen ertoe om minder (slechtgebouwde) javascript te gebruiken, maar ik vermoed dat dat helaas niet zo snel zal gebeuren.

MDM lijkt me zoiets dat sowieso maar beter standaard geblokkeerd kan staan, de meeste mensen hebben het niet nodig en als je MDM aan de verkeerde partij geeft ben je wel echt goed de sjaak. MDM-permissies maken onder andere stalkerware mogelijk, iets wat vooral een risico is voor mensen die door hun partner worden misbruikt. Apple heeft een goede lockdown op die troep, maar helaas slipt er nog wel eens iets tussen de vingers van de reviewers door. Als je beperkingen voor dit soort dingen oplegt (wat Apple altijd doet vanwege hun monopolie op de app store), laat het dan onderdeel zijn van een heel proces dat bij bestelling of door de Apple Store moet worden ontgrendeld. Het is niet alsof je zomaar opeens je persoonlijke apparaat aan een bedrijf koppelt, en dat moet je ook niet willen.

[Reactie gewijzigd door GertMenkel op 23 juli 2024 11:26]

swhnld @GertMenkel7 juli 2022 07:36
Wij krijgen gewoon 50 Euro per maand telefoonkosten vergoeding en mogen zelf toestel en abonnement regelen, mits MDM van werkgever plus Teams, Outlook en Authenticator app.
Maar daarom zei ik al, selectief de lockdown onderdelen aanzetten is wenselijk. Voor jou kan MDM uit. Voor mij aan
Santford T.net PowerMod @swhnld7 juli 2022 08:22
In het bronartikel van Apple staat dat configuratieprofielen niet kunnen worden geïnstalleerd en het apparaat niet kan worden aangemeld voor beheer van mobiele apparaten (MDM), terwijl de vergrendelingsmodus is ingeschakeld.
Dat suggereert dat reeds aangemelde MDM wel blijft functioneren in lockdown mode.
SunnieNL @Santford7 juli 2022 08:34
Ik ga er ook bijna vanuit dat de lockdown gewoon een MDM profiel is en dat de werkgever dit kan activeren. Zou voor government namelijk wel standaard aan komen te staan na enrollment.
Fox Hound @SunnieNL7 juli 2022 09:16
Dit is ook voor de overheid interessant inderdaad. Had Rutte niet ook een iPhone tegenwoordig? Die zal dit dan wel gaan gebruiken.
JackBol @GertMenkel7 juli 2022 07:41
Het is niet alsof je zomaar opeens je persoonlijke apparaat aan een bedrijf koppelt, en dat moet je ook niet willen.
Dat is echt wel common practice tegenwoordig, juist omdat hedendaagse MDMs zo goed werken.
Anoniem: 113730 @GertMenkel7 juli 2022 08:11
“Op die troep” dat klinkt een beetje bevooroordeeld, als ik die troep niet wil welke alternatieven (wat geen troep is) heb ik dan!?
Frame164 @GertMenkel7 juli 2022 08:00
[beetje offtopic] je hebt tegenwoordig blijkbaar al snel een monopolie. Volgens jouw definitie heeft AH het monopolie op het verkopen van AH eigen merk pindakaas. Als iemand de Apple AppStore te beperkend vindt zijn er genoeg alternatieven, alleen niet bij Apple. Dus om nu van een monopolie te spreken…..
the-body 7 juli 2022 09:02
Dat moet toch beter kunnen. Mensen die interessant zijn voor hacks van NSO hebben meestal wel de middelen om meerdere iphones te hebben. Gewoon 3 iphones clean installeren, direct uit de verpakking. Al je data veilig in de cloud. En gewoon elke dag je iphone resetten en een schone backup er op terug doen. Word je besmet, dan maar voor maximaal 1 dag. Of zit die spyware dieper in de telefoon, niet in iOS?
Anoniem: 58485 @the-body7 juli 2022 11:58
Alles wat jij met je telefoon kan kan men ook remote uitvoeren.
shad0wfax 7 juli 2022 11:12
Facetime Binnenkomende oproepen van onbekende nummers worden geblokkeerd
Dat zou toch een opt-in moeten zijn?
Meiklokje 8 juli 2022 12:21
Wat kan je hier nu tegen hebben ? Mensen die niet zo technisch zijn worden nog meer beschermd. Een foute url aanklikken en interactieve inhoud op je berichten met grote gevolgen vanwege ongewenste content. Dit zou standaard op iedere computer, tablet en smartphone moeten zitten. Gaan mensen er nog steeds er van uit dat het internet een veilige plaats is om met je apparaat te vertoeven ? Een url die je device laat crashen, frezen of je batterij leeg trekt. Of wat dacht je een loop met reboots zodat je je toestel niet meer opgestart krijgt. Internet criminelen worden steeds creatiever. Dit is de perfecte stok voor de deur.
mutley69 9 juli 2022 00:47
Het feit dat Apple (en de concullega's) zo'n technologie moeten inzetten - is eigenlijk een bekentenis dat ze met hun featuritis veel te ver gegaan zijn - en daardoor onze privacy in gevaar gebracht hebben.
We moeten ons afvragen of we wel zo goed bezig zijn met onze IT-platformen?
Het gaat terug naar hyper-gesloten - en een super-vendor-lock-in - waarvan Apple uiteraard het exponent is. Maar Google, Amazon, IBM, Microsoft e.v.a. zijn niet zo veel beter. Begraaf die illusie maar. De overheden zijn superzwaar te kort geschoten. Zie maar hoe Intel dat antitrust-proces tegen de EU gewonnen heeft (daar waar de feiten superduidelijk zijn, en Intel zo schuldig is als wat).
De procedure is belangrijker geworden dan de feite - de rechtsstaat is RIP.
Dat is mijn beenharde conclusie!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq