Apple reageert op CIA-lek: meeste kwetsbaarheden in iOS zijn al verholpen

Apple heeft een officiële reactie gegeven op de onthullingen die klokkenluiderssite Wikileaks dinsdag deed. Die onthulde onder meer hoe sterk geheime diensten zich richten op de iPhone en de iPad en daarbij gebruikmaken van kwetsbaarheden in iOS, die (nog) niet bekend zijn. De meeste van die kwetsbaarheden zouden volgens Apple al zijn verholpen. Maar wie een oudere iPhone heeft valt mogelijk buiten de boot.

Apple: meeste kwetsbaarheden verholpen in iOS 10

De circa 9.000 documenten die Wikileaks dinsdag publiceerde geven een uniek inkijkje in het arsenaal aan middelen dat de geheime diensten tot hun beschikking hebben. Bij het gebruik van kwetsbaarheden, zogeheten zerodays, richten de diensten zich veelal op specifieke doelen. Over het algemeen zal een nietsvermoedende consument dus niet zo snel doelwit zijn. Opvallend is wel dat de Amerikaanse CIA de controle over deze gereedschapskist al is kwijtgeraakt voordat Wikileaks erover publiceerde. Het lijkt aannemelijk dat die al in handen van kwaadwillende hackers terecht is gekomen.

In de publicatie van Wikileaks is een lange lijst met zero days te vinden, variërend van iOS 4 tot en met iOS 9.2. In een reactie aan BuzzFeed laat Apple weten dat de meeste van deze kwetsbaarheden al zijn verholpen in de laatste versie van iOS. “Kwetsbaarheden die we ontdekken zullen we snel verhelpen. We benadrukken dat klanten de laatste versie van iOS moeten downloaden zodat ze over de meest recente beveiligingsupdates beschikken”, aldus het bedrijf. Apple benoemt nogmaals dat zo’n 80 procent van de gebruikers de laatste versie van iOS gebruikt.

Oudere iDevices mogelijk niet beschermd
Dit wil zeggen dat zo’n 20 procent mogelijk niet beschermd is, omdat ze een ouder apparaat hebben dat Apple niet meer ondersteunt. Zo vereist iOS 10 minimaal een iPhone 5, een iPad 4 of een iPad mini van de tweede generatie. Een iPhone 4s draait maximaal iOS 9.3.5, die in de lijst niet wordt genoemd. Maar wie een iPhone 4 heeft is mogelijk niet beschermd tegen de kwetsbaarheid. Die draait maximaal iOS 7.1.2, een exploit die ook in de lijst wordt genoemd. Het is niet duidelijk of Apple van plan is om kwetsbaarheden in oudere versies van iOS alsnog te gaan dichten.

De vraag is ook hoe eenvoudig het voor Apple is om de genoemde lekken te identificeren. De informatie die Wikileaks heeft gepubliceerd is niet volledig en bevat bijvoorbeeld niet de exploits zelf. Zo kunnen kwaadwillenden niet alsnog aan de haal gaan met de exploits, maar is het voor Apple ook ingewikkelder om te ontdekken welke kwetsbaarheid wordt misbruikt.

De informatie die Wikileaks dinsdag publiceerde is het eerste deel van een reeks lekken van de CIA. Hieruit bleek onder meer hoe de geheime diensten end-to-end encryptie van apps als WhatsApp en Signal kunnen omzeilen door rechtstreeks op een smartphone in te breken. Ook zouden de geheime diensten Samsung Smart TV’s kunnen afluisteren dankzij de ingebouwde microfoon in sommige tv-toestellen. Bronnen binnen inlichtingendiensten hebben aan verschillende Amerikaanse media de echtheid van de informatie bevestigd. Volgens klokkenluider Edward Snowden, bekend van de PRISM-onthullingen van de NSA, gaat het zeer waarschijnlijk om een insider die de informatie heeft gelekt.