iOS 14.4 lost drie beveiligingslekken op die ‘mogelijk misbruikt zijn’

Drie beveiligingslekken opgelost

Naast de nieuwe iOS 14.4 functies zijn er in de update ook diverse bugs en beveiligingsproblemen opgelost. Deze keer lijken ze wat ernstiger dan bij een doorsnee iOS-update. In een supportdocument legt Apple uit dat er één kernel-kwetsbaarheid is opgelost en twee WebKit-kwetsbaarheden. Alledrie kunnen mogelijk actief zijn geëxploiteerd.

De eerste kwetsbaarheid heeft te maken met de kernel en treft toestellen vanaf de iPhone 6s, iPad Air 2 en iPad mini 4. Ook de zevende generatie iPod touch is er gevoelig voor. Het probleem wordt als volgt omschreven, zonder dat Apple veel details weggeeft:

Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited.
Description: A race condition was addressed with improved locking.

De andere twee kwetsbaarheden hebben te maken met WebKit, de browser-engine die Safari aanstuurt. Dit treft dezelfde reeks toestellen. Hierbij wordt gesproken over het uitvoeren van willekeurige code, iets wat bij beveiligingslekken wel vaker mogelijk is. Wat echter opvalt is dat Apple nadrukkelijk spreekt over mogelijk misbruik. Dit is niet gebruikelijk:

Impact: A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A logic issue was addressed with improved restrictions.

Ook opmerkelijk is dat de personen die de drie lekken hebben ontdekt, anoniem willen blijven. Apple heeft dat verzoek gehonoreerd en noemt geen namen. Bij eerdere lekken werd regelmatig de naam van de ontdekker genoemd, waaronder Google’s Project Zero. Er zijn echter geen aanwijzingen dat zij ook dit lek hebben ontdekt.

Aantal slachtoffers onbekend
Apple geeft toe dat niet bekend is of er slachtoffers zijn gevallen en wie de kwetsbaarheden heeft misbruikt. Het kan zijn dat de aanval was gericht op een kleine groep gebruikers (bijvoorbeeld politieke activisten in een bepaald land) of op een grotere groep. TechCrunch hint naar een reeks eerdere voorvallen, zoals in 2019 toen de Chinese overheid Oeigoerse Moslims bleek te bespioneren dankzij een beveiligingslek. Vorige maand kwam nog naar buiten dat telefoons van journalisten werden afgeluisterd met behulp van spyware, gemaakt door de Israëlische NSO Group. De slachtoffers waren vooral journalisten van Al Jazeera en de opdrachtgevers waren overheden van onder andere Saoedi Arabië en de Verenigde Arabische Emiraten.

Meer informatie volgt
Apple belooft dat er in de toekomst meer informatie vrij zal worden gegeven, maar dat dit momenteel nog niet mogelijk is. Dat heeft er mogelijk mee te maken dat nog niet iedereen naar iOS 14.4 is overgestapt en het de komende dagen of weken nog steeds mogelijk is om misbruik te maken van de lekken. Kortom: treuzel niet en installeer de update, zodat