Eind vorige maand schreven we dat er ernstige lekken waren waardoor je iPhone jarenlang kwetsbaar zou zijn voor hacken. Deze bevindingen werden door Google’s Project Zero team aan Apple gemeld. Nadat het lek gedicht was, heeft Google de ontdekkingen openbaar gemaakt, maar volgens Apple zit de vork iets anders in de steel. Apple heeft nu een statement uitgebracht waarmee ze gebruikers geruststellen die bezorgd zijn over de veiligheid van iOS.
Apple’s statement over beveiliging van iOS
Allereerst zegt Apple dat de aanval niet zo breed was als Google doet vermoeden. Het gaat om minder dan een dozijn gehackte websites die konden zorgen voor de besmetting. Bovendien geeft Google’s bericht een verkeerde indruk, zo meldt Apple. Google stelde dat er massaal misbruik gemaakt werd van de lekken waarbij privé-activiteiten van grote aantallen gebruikers gevolgd werden. Volgens Apple is dit nooit het geval geweest.
Misschien wel het belangrijkste is dat de aanvallen van de gehackte websites niet twee jaar maar slechts twee maande duurde, zo stelt Apple. De kwetsbaarheid is volgens Apple al in februari gedicht, slechts tien dagen nadat ze hiervan op de hoogte gebracht waren. Apple is door Google benaderd toen ze zelf al bezig waren om de bugs op te lossen.
Apple blijft zich inzetten om de beveiliging van haar producten zo goed mogelijk te maken, zo besluit het bedrijf in het statement. De volledige verklaring vind je hieronder.
A message about iOS security
Last week, Google published a blog about vulnerabilities that Apple fixed for iOS users in February. We’ve heard from customers who were concerned by some of the claims, and we want to make sure all of our customers have the facts.
First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described. The attack affected fewer than a dozen websites that focus on content related to the Uighur community. Regardless of the scale of the attack, we take the safety and security of all users extremely seriously.
Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case.
Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies. We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs.
Security is a never-ending journey and our customers can be confident we are working for them. iOS security is unmatched because we take end-to-end responsibility for the security of our hardware and software. Our product security teams around the world are constantly iterating to introduce new protections and patch vulnerabilities as soon as they’re found. We will never stop our tireless work to keep our users safe.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Apple viert vandaag 10 jaar Activiteit-app met speciale uitdaging (en zo krijg jij een exclusieve fysieke pin) (24-04)
- Gesloten Apple Store Amsterdam blijkt toch open: bewaker vergeet deur op slot te doen (22-04)
- Apple geeft je 10% korting op accessoires bij inlevering van je oude apparaat (van welk merk dan ook) (16-04)
- Apple werkt aan verbeteringen voor Apple Intelligence: zo gaat Apple dat doen (15-04)
- Apple is voor het eerst grootste smartphoneverkoper ter wereld in eerste kwartaal (dankzij deze iPhone) (15-04)
Ik had liever gezien dat Apple de beveiliging zou verdedigen in hard- en softwarematige maatregelen.
T zal wel weer niet waar zijn zoals iedere keer bij de grote bedrijven. Damage mitigation noemen ze dat ook wel en de meerderheid vd consumenten rennen daar met open ogen in. Jammer. Ach ja het zij zo.
Google heeft natuurljk ook een belang om iOS in een zo’n slecht licht als mogelijk is te zetten. Iedere keer als ik maar opmerkingen van Google over Apple of iOS lees dan lees ik dat met een grove korrel zout.
@Richard: Sluit ik me bij aan
En andersom…
Ik vond het al een opgeblazen en ongeloofwaardig verhaal
En waarom zou het een ongeloofwaardig verhaal zijn?
Moddergooien over en weer.
@Ronald: Om de simpele rede dat Apple nooit 2 jaar wacht met het repareren van een dergelijke fout, zeker niet als deze zo ernstig zou zijn geweest als dat Google dat voor doet. Heb zelf een aantal jaren Android gebruikt en begon mij af te vragen hoe het nou kan dat daar maandelijks (en al jaren lang) zo tussen de 30 en 65 problemen per keer, op het gebied van beveiliging moeten worden opgelost. Google zou beter naar zichzelf kijken.
Andersom weet Apple ook niet zeker dat er maar een handvol kwaadaardige sites zijn geweest.
Google heeft alleen het risico genoemd en dat was er dus wel degelijk.
Het gevaar bij Apple komt eerder van binnen uit: terwijl er allerlei beta trajecten dwars door elkaar lopen zijn er in iOS 12.4 weer zero-day kwetsbaarheden geslopen die ze er al eerder uit hadden gehaald
@Robbert: In eerder commentaar gaf ik al aan dat Apple nooit lang wacht met reparatie als er serieuze problemen zijn en dat bewijzen ze met een teruggekeerd zero day kwetsbaarheid in IOS 12.4. Inmiddels zitten we al weer enkele weken op IOS 12.4.1, waarmee het probleem is verholpen. Je opmerking is dus al weer achterhaald en jij lijkt in ieder geval geen IOS te gebruiken, anders had je geweten dat ongeveer een week na ontdekking van de teruggekeerde kwetsbaarheid, de update voor reparatie al beschikbaar was. Verder ontkent niemand dat er geen risico is geweest, er wordt alleen gezegd dat Google overdrijft om IOS in een kwaad daglicht te zetten.
Dit gaat niet over veiligheid, maar over PR.
Heerlijk die reacties als die van Richard 😁
@Hans:
Ik gebruik wel degelijk iOS (voorzover dat enige relevantie heeft) en verbaas mij er over hoe kwetsbaarheden in een ontwikkeltraject kunnen terugkeren, waardoor überhaupt pleisters als iOS 12.4.1 nodig zijn. Je weinige snuggere aanname dat ik niet zou weten dat 12.4.1 bestaat doet daar niets aan af.
Of er een directe correlatie is met parallelle beta trajecten – waarbij gepatcht en gedebugged wordt in versies die elders alweer verder ontwikkeld zijn – kan ik niet bewijzen maar het is een teken aan de wand dat er op dit moment weinig lijn & logica in de ontwikkelstrategie van Apple zit.
Als jij vindt dat dat wel zo is mag je uitleggen waarom (en verdiep je even in de Sock Puppet kwetsbaarheid over de div. iOS 12 versies…)
@Robbert: Begrijp niet goed waarom je ergens over moet gaan zeuren wat meteen is opgelost. Fouten worden overal gemaakt maar goed, sommigen houden nou eenmaal van doorzaniken. Vooral omdat het hier niet over veiligheid ging, maar wel over het feit dat Google er via PR misbruik van maakt. In mijn ogen minder snugger om er dan een zero day lek bij te gaan halen.