Apple gaat opnieuw iPhones met minder restricties uitdelen aan onderzoekers

Apple gaat opnieuw speciale iPhones aan beveiligingsonderzoekers uitdelen. Die kunnen daarmee kwetsbaarheden vinden in de telefoon en in het besturingssysteem iOS. Het bedrijf verlengt daarvoor het Security Research Device Program.

Apple heeft de inschrijvingen voor het programma voor 2024 weer geopend. Dat betekent dat beveiligingsonderzoekers zich tot 31 oktober bij Apple kunnen melden met een aanvraag om een speciale iPhone 14 te krijgen via het programma. De toestellen worden dan volgend jaar geleverd.

Apple begon het Security Research Device-programma in 2020. Het bedrijf zei toen speciale iPhones te gaan uitdelen aan onderzoekers die kwetsbaarheden willen vinden in iPhones en iOS. De telefoons zijn de recentste iPhones waarop bepaalde restricties zijn weggelaten die wel in de consumententoestellen zitten. Zo kunnen onderzoekers in het programma bij de Secure Enclave, en hebben ze shelltoegang en meer rechten om in de kernel rond te neuzen.

Apple is altijd vaag gebleven over het precieze aantal deelnemers aan het Security Research Device-programma. Het is ook nu niet duidelijk hoeveel onderzoekers Apple toelaat. Het bedrijf zegt sinds 2019 130 bugs met een hoge impact te hebben gerepareerd na meldingen via het programma. In het afgelopen halfjaar werden 37 bugs gevonden. Van alle gemelde bugs vielen er meer dan 100 onder het bugbountyprogramma waarbij Apple als mediaan 18.000 dollar per bug uitkeerde en meer dan eens een half miljoen dollar toekende voor een individuele bug.

Onderzoekers krijgen het toestel voor een periode van een jaar in bruikleen en moeten alle gevonden bugs melden bij Apple. Ook Nederlandse en Belgische onderzoekers kunnen meedoen.

Apple heeft lange tijd moeite gehad om ethische hackers aan zich te binden. Zerodays voor iPhones gaan op de zwarte markt voor miljoenen over de virtuele toonbank, maar Apple geeft relatief lage beloningen voor veel bugs. Bovendien is Apples bugbountyprogramma de laatste jaren vaak bekritiseerd; hackers klagen dat Apple slecht en te laat omgaat met meldingen en reparaties. Tweakers schreef daar eerder een achtergrondartikel over.

Door Tijs Hofmans

Nieuwscoördinator

01-09-2023 • 08:51

37

Reacties (37)

37
36
19
1
0
12
Wijzig sortering
Het zou fijn zijn als ik eens een artikel zou lezen dat belicht hoe het er verhoudingsgewijs aan toe gaat tussen verschillende smartphone fabrikanten wat betreft het pletten van bugs en het dichten van kwetsbaarheden.

Nu lees ik iets negatiefs over Apple en daar ben ik als iPhone (geen Apple) fanboy natuurlijk niet blij mee, maar tegelijkertijd vraag ik me dan af in hoeverre de situatie bij Apple zich verhoud tot die van de concurrentie.
Het probleem is dat zulke statistieken enorm moeilijk te interpreteren zijn, en nog moeilijker te vergelijken. En de impact ervan weten is zo goed als onmogelijk.

Interpretatie: Stel voor telefoon A worden er 10 exploits op een jaar gevonden, voor telefoon B 20. Is telefoon B dan slechter? Niet perse: misschien wordt er simpelweg meer onderzoek gedaan naar B, misschien zijn de exploits gevonden in A wel veel erger, en hoe zit het met de reactie op die exploits: zelfs als de exploits in B echt erger zijn, als ze binnen 2 dagen gepatcht zijn en die van A pas na 2 maanden, dan heb ik liever telefoon B.

Vergelijken: Als je dan ook nog iOS met Android wilt vergelijken ga je helemaal de mist in omdat de OSen zo anders zijn: stel er wordt een kritieke exploit voor browsers gevonden, die zowel op Safari als Chrome werkt, wat wil dat dan zeggen op telefoons? Bij Android kan dit worden gepatcht via de app store, bij iOS vereist dit een iOS update... behalve natuurlijk als het lek leunt op iets dieper in het OS zoals de multimedia engine (throwback to stagefright!)

Impact: en zelfs als je er dan in slaagt alle bugs te inventariseren, correct in te schatten hoe ernstig ze zijn, en een score geeft aan de reactie (snelheid, effectiviteit) van de telefoonmakers, dan rest er nog de vraag: hoe erg was het nou eigenlijk? We hebben de afgelopen jaren allemaal gelezen over hele ernstige bugs, maar de vraag is of die dan wel actief misbruikt zijn. En op die vraag antwoord krijgen is zo goed als onmogelijk: als tante Bep haar telefoon gehackt is met een of andere zero day: hoe komt ze erachter? Iets zoals ransomware merk je wel, maar een stille exploit die je data steelt of je telefoon een slave in een botnet maakt, dat merk je niet zomaar. En als Tweakers Jos er dan wel achter komt, waar meldt hij dit? Er is geen globaal meldpunt voor dit soort dingen, dus goed data krijgen is eigenlijk onmogelijk.

En dan heb ik het nog niet eens over het feit dat overheden van over de hele wereld exploits verzamelen en zo heimelijk mogelijk inzetten, voor goede (oprollen van drugskartels, zie Encrochat) of kwade (onderdrukking van de oppositie en journalisten, zie Pegasus) toepassingen. Daarvan blijft het dus ook heel lang onduidelijk wat er precies gebeurt met welke exploits en op welke schaal.

Kortom: dingen zijn moeilijk 8)7
iOS vereist dit een iOS update
Ik injecteer hier even iets: Apple heeft sinds vorig jaar al een paar keer gebruik gemaakt van een zogenaamde Rapid Security Response. Die installeert echt wel een stuk sneller dan een reguliere update, en is eerder vergelijkbaar met een restart (in snelheid van installeren). Al stelt het support-artikel wel dat een restart mogelijk nodig is, dus het zou kunnen dat er Security Responses zijn zonder restarts. Die installeren dan ook nog eens automatisch, en dan merk je het als gebruiker (of zelfs Tweaker) niet zo snel dat het gebeurt is.

[Reactie gewijzigd door Luminair op 23 juli 2024 01:36]

De Rapid Security Response is zeker een vooruitgang. Maar effectief wordt nog steeds een specifieke versie van het OS gepatched. Als ik kies om (nog) niet naar de nieuwste versie van het OS te upgraden, dan komt de patch voor mij niet beschikbaar. Dat is significant anders dan het updaten van een app via een app store, waarbij ik de patch ook kan krijgen als ik niet op de nieuwste versie van het OS zit.

Kortom, in praktische zin vind ik nog steeds dat het een iOS update vereist.
Het lijkt me belangrijker om te weten hoeveel telefoons van een bepaald merk nu werkelijk gehackt worden. Ik denk dat niet de kwetsbaarheden van het OS maar de kwetsbaarheid tussen onze oren het gevaarlijkst is. Klikken we op die verleidelijke knop in de mail?
Die 'verleidelijke knop' in je mail is slechts een eerste stap in een keten. Als je een up to date apparaat hebt is de kans dat zo'n knop je systeem overneemt een stuk kleiner.
Kleiner, maar niet onmogelijk.
Maar hoe vaak is de kwetsbaarheid nu echt een probleem?
Een kwetsbaarheid wordt een groter probleem als deze niet snel opgelost wordt. Dat het nu voor de meeste mensen niet echt een probleem is is irrelevant.
Nu doe je de aanname dat iedereen tot nu toe zijn telefoon netjes up to date heeft, (en dat er "dus" geen probleem met kwetsbaarheden is). Dat geloof ik niet. Ik denk dat heel veel mensen een stokoude telefoon hebben die jarenlang geen update heeft gehad.
Aan de Apple kant staan auto-updates gewoon aan en heb je er de eerste 5-6 levensjaar van je toestel geen omkijken naar (soms krijgt een ouder toestel ook nog wel eens een update).
En ja, die echt oude toestellen blijven gebruiken kan inderdaad tot problemen leiden. Ik zou er geen gevoelige info op zetten (bank, crypto, wachtwoorden etc).
Klopt, auto-updates staan inderdaad aan. Alleen, in alle jaren dat ik auto-updates heb, heeft Apple het al 1x gepresteerd om een update automatisch te installeren. Ik weet dat auto-update voor velen wel werkt. Maar ik weet ook dat ik niet de enige ben bij wie auto-update niet werkt. Heb al een paar keer een ticket geopend bij Apple en ze weten het niet te diagnosticeren.
Waarom zeg ik dit? Auto-update is niet het ei van Columbus en er zijn zat iPhone/iPad apparaten die niet up to date zijn.
Ik denk dat je overschat hoeveel toestellen niet updaten. Bij mij werkt het vlekkeloos (krijg enige tijd na een release meestal wel een 'dwingende' prompt om even te herstarten voor een update), en de overzichten die Apple deelt laten ook wel zien dat veruit iedereen met een device dat in staat is de meest recente iOS versie te draaien dat na enige tijd ook doet. Bijna 90% van alle iOS apparaten draaien de laatste versie.
Ik kan alleen antwoorden vanuit mijn eigen ervaring. Hier in huis hebben we 9 iOS/iPadOS apparaten die allemaal niet automatisch updaten. Ze kondigen de update soms wel aan, met de mededeling dat hij 's nachts geinstalleerd gaat worden. Maar daadwerkelijk installeren gebeurt zelden tot nooit. Bij mijn ouders en schoonouders zie ik dat updates wel automatisch installeren. Maar meestal gebeurt dat pas weken en soms zelfs maanden nadat de update uitgebracht is.
Inderdaad, Apple brengt soms security updates uit voor toestellen die niet meer ondersteund worden in de laatste IOS-versie zoals de 7 en de 6s. Dat zie ik Android-gebaseerde fabrikanten niet zo vaak doen, hoewel ook daar positieve evoluties in zijn tegenwoordig.
Als er een lek in de browser zit dat is dat voor iOS een security patch die als systeemupdate binnengehaald moet worden. Op Android kan dit via de store door de app te updaten die het betreft. Daarmee is het al lastig te vergelijken.
Ik weet niet of ik dat lastig te vergelijken vind. In beide gevallen is de browser gewoon een binary bestand (of setje bestanden) op het systeem dat gepatched moet worden. Android patched die al jarenlang afzonderlijk, maar iOS is ook begonnen met kleinere, sneller patches die geen herstarten vereisen.
Zeker interessant om te lezen zo’n vergelijking. Maar uiteindelijk heb je er niets aan. “Bij ons lekt het dak maar dat is niet erg want bij de buren lekt het meer.”
Ik denk dat het beeld van een kwetsbaarheid in software, processen, hardware, etc nogal vertekend is.

Het is namelijk totaal niet van belang hoe lek een stukje software (of hardware) is? Het is alleen maar van belang hoe snel zoiets gefixt kan worden, of er iemand misbruik van heeft kunnen maken, en zo ja: wat was de impact daarvan. Daarbij dient er bij iedere kwetsbaarheid ook te worden gekeken hoe dit preventief opgelost kan worden voor een update. Meer niet.

Kwetsbaarheden in software ga je nooit of te nimmer tegen kunnen gaan. Er zal namelijk altijd een kwetsbaarheid zijn die nog niet gevonden is. Bij kwetsbaarheden loop je dus altijd achter de feiten aan.

Security die stuk is, zal gewoon gepatcht moeten worden. Daar heeft ieder stukje software last van. Het gras is daarmee niet altijd groener bij iemand anders. De kans is namelijk erg groot dat een kwetsbaarheid gewoon nog niet gevonden/misbruikt is. Daarom is een app ook niet "ineens" kwetsbaar. De kwetsbaarheid is simpelweg gevonden.

Je kan daarmee dus per definitie niet zeggen dat software van fabrikant A veiliger is dan fabrikant B. Er wordt namelijk alleen maar op de bekende punten en aanknopingspunten ge-pen-test. En de kwetsbaarheden zijn, ja opnieuw, simpelweg niet gevonden.

We hebben altijd nog de onderzoekers/white hat hackers/hobbyisten die architecturen, frameworks en applicaties gaan testen op kwetsbaarheden. Dat wordt niet op de gebruikelijke manier gedaan, maar eerder met een vorm van reverse engineering. Daardoor komt vaak een flinke stroom aan kwetsbaarheden in verschillende mate naar boven.

Al met al: Software A is niet minder kwetsbaar dan software B. Er zijn bij A t.o.v. B minder kwetsbaarheden gevonden tot op het moment van testen.
Ja dat klinkt leuk, maar het is wel degelijk van belang hoe goed een telefoon beveiligd is. Al zijn er ook een hoop invloeden waar de gebruiker iets aan moet doen (wachtwoorden etc).

Een crimineel werkt op basis van kansen, als er twee devices zijn die ingebroken kunnen worden dan pakt hij de eerste met een lage beveiliging (en misschien met een hoge waarde). Zie het als je huis, als je huis goed op slot zit dan zal een inbreker minder snel dat huis pakken ten opzichte van het huis wat slecht is beveiligd (en de politie er sneller is).

Dus ik denk dat het een samenspel is van hoe goed de beveiliging is vs. hoe snel het gefixt wordt.
Zoals ik reeds aangaf, beveiliging is veilig tot er een kwetsbaarheid gevonden wordt. De ontwikkelaar heeft het lang niet altijd kunnen voorzien dat een kwetsbaarheid ontstaat door op een bepaalde manier te ontwikkelen. Dat is voor het grootste deel namelijk pas achteraf.

De preventie valt onder beveiliging die reeds bestaat, "well known" is onder ontwikkelaars, en praktisch altijd geïmplementeerd wordt in de code door middel van toepassen in de huisstijl.

Er zijn inderdaad allerlei factoren die zoiets nogal kunnen beïnvloeden. Zo is update-beleid van de eindgebruiker, wachtwoordbeveiliging, 2FA, gebruik van een wachtwoordenkluis, social-hacking, pen-tests, etc allemaal aan de "voorkant" t.b.v. preventie een goed beleid. Dat dient zoveel als mogelijk te worden gestimuleerd, maar dient ook zo simpel mogelijk implementeerbaar te zijn voor de eindgebruiker. Anders gaat die er niet aan.

Een cimineel denkt inderdaad in kansen. Denk daarbij ook aan pakkans, tijdsduur om een slot/encryptie alsnog te kunnen forceren, etc. Als een crimineel ècht iets wilt hebben, dan is het allemaal slechts een kwestie van tijd. Het is aan de ontwikkelaars en security architects om dit tegen te kunnen gaan.

Men kan alsnog niet zeggen of apparaat A veiliger is dan apparaat B. Men kan aangeven wat het slagingspercentage is geweest met een standaard toolset om in te breken.

Als er dus in twee verschillende applicaties alleen op de hoofdpagina's wordt getest op cross-side scripting, en applicatie A staat het alleen op de hoofdpagina niet toe. Terwijl applicatie B het op alle pagina's toestaat, behalve de hoofdpagina. Dan zullen beide applicaties net zo lek zijn, maar het lek niet gevonden zijn bij applicatie B. Daarom is het relatief aan de toolset om te testen. Men kan dit dus niet zomaar bepalen, omdat een toolset ook altijd achter de feiten aanloopt.

Er worden iedere dag kwetsbaarheden gevonden, gemeld, gefixt, etc. Maar we mogen niet vergeten dat er ook een hoop kwetsbaarheden alleen gevonden worden, maar niet gemeld bij de juiste partij. Er wordt namelijk grof geld betaald voor "under the radar" -kwetsbaarheden in grote software pakketten. Daar ligt het probleem.

De definitie van "veilig" is daarin dus niet te meten. Laat staan vergelijken.
ik denk meer in het kader van als je op het punt staat een woning te gaan kopen:
- bij dit type huis is de kans op lekke daken zus en zo groot
- bij dat type huis is de kans wat meer/minder groot om deze en deze redenen

ik denk zeker dat het waardevolle informatie is om de dak-lek-kans van je nieuwe telefoon te minimaliseren
Het is een voordeel dat Google zelf heelveel kan pusben naar telefoons van andere merken. Die hoeven tegenwoordig veel minder zelf te doen.
Dat de uitvoering van het proces beter kan, geloof ik graag.
Niettemin vind ik het feit dat ze zo'n programma hebben, een goede zaak.
De restricties op de repareerbaarheid van Apple producten opheffen, daar zouden we veel meer aan hebben.
Je bedoeld dat JIJ daar meer aan hebt?

De gemiddelde gebruiker interesseert dat helemaal niet en wil dat ook vaak niet omdat het juist simpel werkt zoals het nu is.

Edit; zie dat je je bericht hebt aangepast tussen het plaatsen van mijn bericht. Eerst ging het je helemaal niet over de repareerbaarheid namelijk...

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 01:36]

Tot de telefoon kapot gaat.
Daar ging zijn bericht eerst ook niet over, er werd met geen woord over repareerbaarheid gerept maar over slechts de restricties
Ik heb geen idee wat er eerst stond. Maar als ik aan Apple's restricties denk, denk ik ook onmiddellijk aan repareerbaarheid.
Tot op zekere hoogte snap ik wel dat je reparaties goedkoop wil, maar uiteindelijk krijg je crap (slechte accu, TFT scherm ipv OLED) en ik snap ook wel dat Apple zich daar niet graag mee associeert want dat is niet het product wat ze verkocht hebben.
(eigenlijk zouden ze het appeltje van de glasplaat moeten gummen als je dergelijke reparaties doet ;) )
Nog mooier is dat Apple een product op de markt brengt wat én heel mooi én repareerbaar is. Nu lijkt het reparatiebeleid wel heel erg op een cash cow.
Het is net als met het argument tegen de 3.5 mm jack plug. Deze zou "te veel ruimte innemen" (een hacker was echter wél in staat om er een in te bouwen) en "er komen nieuwe features voor in de plaats" (welke dan?). Het zijn drogredenen, en ik ben bang dat het met zelfreparatie niet anders is.
Apple moet gewoon wat beter zijn best doen.
Welke reparaties zijn dan problematisch? Veruit de meeste mensen hebben of een batterij die degradeert (al zijn die van Apple naar mijn ervaring gewoon goed en zelden al na 1-2 jaar al aan vervanging toe) of een scherm wat gebarsten is (en zou je dan niet een scherm met dezelfde specs terug willen?). Beide onderdelen zijn gewoon te vervangen - door een Apple servicepunt - waarbij je ook garanties krijgt dat het werkt en de originele specs heeft. Natuurlijk kost het meer dan een batterijtje van Aliexpress zelf monteren, maar als je geen reparaties kan betalen waarom haal je dan in godsnaam de duurste telefoon op de markt?
Die jack plug neemt echt wel ruimte in, misschien dat iemand er een in een iPhone 7 kon bouwen (of dat vast genoeg zat voor dagelijks gebruik is de vraag), maar in een huidige iPhone is echt geen ruimte meer. Bovendien: voor minder dan een tientje heb je een verloopje dus die discussie gaat eigenlijk helemaal nergens over.
Niet iedereen koopt een nieuwe iPhone. Tweedehands zijn ze zeer gewild. Bij elke telefoon houdt de accu het makkelijk 1-2 jaar vol. Daar zit het probleem niet. Dat komt na 2 jaar pas.

Ik weet dat het bij een servicepunt kan, maar daar gaat het niet om. Je moet een telefoon zelf kunnen repareren. Je moet ook een originele batterij en scherm kunnen kopen.

Die "duurste" telefoon is tweedehands niet zo duur, maar kan wel stuk gaan.

Die jackplug kan in elke telefoon ingebouwd worden. dat kost misschien 1% van de ruimte. Je maakt mij niet wijs dat Apple dat technisch niet voor elkaar krijgt. Dat je een verloopje kunt krijgen doet daar niets aan af.
Ik weet dat het bij een servicepunt kan, maar daar gaat het niet om. Je moet een telefoon zelf kunnen repareren. Je moet ook een originele batterij en scherm kunnen kopen.
Als het scherm nagenoeg onverwoestbaar en de batterij levenslang goed werkt kan ik akkoord gaan met een toestel wat ik zelf niet kan repareren hoor. Ik vind die wetgeving vooral symptoombestrijding en vraag me af of je er echt wat mee gaat opschieten.
Die jackplug kan in elke telefoon ingebouwd worden. dat kost misschien 1% van de ruimte.
Zo'n ding neemt meer dan een vierkante cm in, dat is veel meer dan 1%.
Je maakt mij niet wijs dat Apple dat technisch niet voor elkaar krijgt.
Prioriteiten. Apple weet donders goed wat mensen accepteren en ook wat mensen liever willen. Uur langer met de batterij of jack plug - met zulke kleine apparaten moet je toch trade-offs doen.
Apple implementeert bewust 'features' die je product of bepaalde functionaliteiten van dat product onbruikbaar maken, ook al gebruik je Apple onderdelen. Vaak moet je ze kalibreren, en dat kan alleen door Apple omdat ze die kalibratietools niet vrijgeven (Google doet dat bijvoorbeeld wel met hun Pixels). Tevens ontwerpen ze hun producten zodanig dat het zeer lastig is ze te repareren zonder schade te veroorzaken (zoals het vastplakken van onderdelen). Ze zijn hier niet de enige in, maar Apple spant wel de kroon met dit soort praktijken.

Ik repareer om die reden uit principe geen Apple producten meer, en koop ze zelf ook niet.

Ik hoop dat er uiteindelijk vanuit de Europese wetgeving een strikt mandaat groeit uit het Right of Repair voorstel dat er nu ligt. Dat kost tijd, maar dat is de enige manier om bedrijven zoals Apple te dwingen hun producten zodanig te ontwerpen dat ze op een fatsoenlijke manier te repareren zijn.
Ze zijn hier niet de enige in, maar Apple spant wel de kroon met dit soort praktijken.
En hier haak ik af. Je hebt overduidelijk een probleem met Apple en doet net alsof ze je groot onrecht aandoen, maar met dit soort ongefundeerde uitspraken schiet je jezelf in de voet. Zoals je aangeeft zijn ze niet de enige die onderdelen niet reparabel maken (al is bv de iPhone 14 een stuk beter te servicen dan z'n voorgangers), maar behalve 'vastlijmen en fabrikant-only onderdelen zijn slecht' right-to-repair retoriek moeten fabrikanten ook rekening houden met dingen als garantie en security. In die zin begrijp ik ook wel dat ze het repareren zoveel mogelijk naar zich toe proberen te trekken. Zo lang we niet terug gaan naar de Nokia baksteen blijven telefoons intern kleine fragiele apparaten waarvan je het je moet afvragen wat de kans op succes bij reparatie door een 'random' servicemonteur is. Apple is tenminste zo fatsoenlijk een nieuw toestel te geven als ze er een slopen bij reparatie (n=1 ervaring).
Ik vind right to repair eigenlijk maar een afleiding. Duurzaamheid wordt vaak als argument opgegooid, maar als ik dan voorstel dat Apple gewoon een dichtgelijmd blok met gegarandeerd 10 jaar levensduur kan aanbieden is dat niet goed genoeg. Dat betekent dat andere argumenten meespelen: sommige mensen (die uit principe geen Apple kopen, maar een ander slecht te repareren toestel) hebben kennelijk een bloedhekel aan Apple. Standaard fanboy gedrag imo.
Wie zijn die onderzoekers lijkt me ook een belangrijke vraag. Lijkt me dat de AIVD/CIA/Mossad etc ook wel interesse hebben :+

Op dit item kan niet meer gereageerd worden.