Teleurstellend: iOS 15.0.1 lost bekende bugs en lekken niet op

Apple heeft in iOS 15 te kampen met een flinke lijst aan bugs. Wie hoopte dat iOS 15.0.1 de belangrijkste problemen en kwetsbaarheden oplost, loopt tegen een flinke teleurstelling aan. Grote en inmiddels gepubliceerde kwetsbaarheden zitten er nog steeds in.

Welke bugs lost iOS 15.0.1 nou eigenlijk wél op?

Apple bracht vrijdagavond iOS 15.0.1 uit, op het eerste gezicht een hele opluchting voor mensen die al dagenlang met iOS 15 bugs en problemen te maken hebben. Het ontnuchterende nieuws is echter dat Apple in iOS 15.0.1 eigenlijk nauwelijks iets nieuws bevat. In feite zijn slechts twee problemen gefixt:

  • Een probleem met het ontgrendelen van je Apple Watch.
  • Een iOS-kwetsbaarheid waarbij het lockscreen omzeild kon worden.


In de reacties onder ons eerdere artikel melden lezers dat animaties vlotter lijken te lopen en dat de foutieve weergave van opslag is opgelost. Maar er zijn ook weer nieuwe problemen, zoals verdwenen mail.

Ook wij constateerden al dat het een vrij magere release was.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

Lek in iOS 15 gedicht, maar de ontdekker is niet blij

Eén van de problemen die Apple wel heeft gefixt betreft een manier om het ontgrendelscherm van iOS te omzeilen. Apple gaf echter geen credits aan de ontdekker, onderzoeker Jose Rodriguez. Hij gaf in september uitgebreide details over een kwetsbaarheid in iOS waarmee je dankzij VoiceOver en gangbare tools om te delen toegang kon krijgen tot een iPhone.

Rodriguez publiceerde een ‘proof of concept’ op YouTube, om te laten zien hoe de notities van een persoon zonder zijn medeweten kunnen worden gekopieerd en doorgestuurd naar een ander device. De onderzoeker meldde zijn ontdekking niet eerst bij Apple, uit protest tegen het slecht lopende Bug Bounty Program. Blijkbaar heeft dat kwaad bloed gezet bij Apple, want het bedrijf weigert ‘m nu te bedanken voor de ontdekking. Vorige maand gebeurde dat ook toen een bug in macOS Finder werd opgelost.

In een tweet laat Rodriguez weten dat iOS 15.0.1 het probleem wel oplost, maar hem op geen enkele manier heeft bedankt of credits geeft. Daarmee brengt Apple het eigen Bug Bounty Program nog verder in diskrediet.

Klachten over Bug Bounty Program

Ontwikkelaars en onderzoekers klagen over het gebrek aan communicatie en het feit dat Apple probeert om onder de beloning voor ontdekte bugs uit te komen. Ook beveiligingsonderzoekers Denis Tokarev en Bobby Rauch klaagden er onlangs over. Ook zij ontdekten bugs en rapporteerden die aan Apple, maar liepen vervolgens tegen een muur van stilte aan.

Ivan Krstic

Apple’s hoofd beveiligingszaken Ivan Krstic (zie foto), vertelde vorige maand in een interview dat het Bug Bounty Program een “gigantisch succes” is en dat Apple druk bezig is om feedback te verzamelen, terwijl het initiatief ondertussen wordt opgeschaald. Apple zou hard eraan werken om fouten op te lossen en ervan te leren, zodat het programma snel verbeterd kan worden. Apple zou ook een nieuw teamhoofd hebben ingehuurd om het Bug Bounty Program een extra impuls te geven.

Ethische hackers hebben al langer kritiek (paywall) op het Bug Bounty Program van Apple, vanwege de manier waarop Apple met externe beveiligingsexperts omgaat, niet communiceert en moeilijk doet over de beloning. Daardoor is het voor niet-ethische hackers lucratiever om hun ontdekkingen in het grijze circuit te verkopen, zodat het bijvoorbeeld gebruikt kan worden voor malware en spyware. Een exploit voor een Apple-platform kan $2 miljoen opbrengen. Ter vergelijking: begin 2021 kreeg onderzoeker Cedric Owens $5.000 voor een lek waarmee het beveiligingssysteem van de Mac omzeild kon worden.

Bekijk ook
iOS 15.0.1 uitgebracht: lost bug met Apple Watch-ontgrendeling op

iOS 15.0.1 uitgebracht: lost bug met Apple Watch-ontgrendeling op

Apple heeft iOS 15.0.1 uitgebracht. Dit is de eerste aanvullende update voor iOS 15. Maar welke problemen heeft Apple met deze update gefixt? Niet zo heel veel, blijkt nu.

Drie bekende zero-day lekken niet opgelost in iOS 15.0.1

Gebruikers zullen gemerkt hebben dat veel iOS 15-bugs niet zijn opgelost met de release van iOS 15.0.1. Dat is teleurstellend, maar ook op een ander vlak is er onvrede: er zijn drie zero-day kwetsbaarheden bekend die al maanden geleden bij het bedrijf zijn gemeld, maar ook nu nog niet zijn opgelost. Ze werden vorige week onthuld, in de hoop dat Apple er versneld toch mee aan de slag zou gaan. Maar helaas.

In september maakte beveiligingsonderzoeker Denis Tokarev (illusionofcha0s) bekend dat Apple meerdere zero-day kwetsbaarheden in iOS negeert. Tokarev meldde tussen 4 mei en 10 maart maar liefst vier lekken. Eén ervan werd in iOS 14.7 opgelost, de andere drie zitten nog steeds in iOS 15.0.1. Het gaat volgens Tokarev om niet-kritische kwetsbaarheden, die niettemin belangrijk genoeg zijn om er toch iets aan te doen. Zo is er een bug waarbij kwaadaardige apps je Apple ID-informatie kunnen lezen.

Tokarev raakte gefrustreerd over het gebrek aan communicatie bij Apple en schreef eind september een blogpost, waarin hij uitlegt hoe zijn contacten met Apple zijn verlopen. Apple loste een van de kwetsbaarheden stilletjes in iOS 14.7 op, maar maakte daar geen melding van op de pagina met beveiligingsupdates, ook later niet.

Toen Tokarev ze erover aansprak boden ze excuses aan en spraken over een verwerkingsfout. Het zou later op de pagina met beveiligingsupdates worden toegevoegd. Maar dt gebeurde niet, ook niet drie releases later. Apple las Tokarev’s blogpost, bood opnieuw excuses aan en beloofde de drie resterende kwetsbaarheden te onderzoeken, maar voor de onderzoeker was het geduld op. Hij maakte de drie kwetsbaarheden openbaar en volgde daarbij de standaard protocollen voor het rapporteren van dergelijke kwetsbaarheden.

AirTag-lek genegeerd

Ook onderzoeker Bobby Rauch is gefrustreerd. Hij ontdekte een kwetsbaarheid met AirTag, maar Apple gaf geen antwoord op eenvoudige vragen over de bug en of Rauch er credits voor zou krijgen. Dit lek zorgt ervoor dat aanvallers de vinder van een AirTag naar een kwaadaardige website kunnen doorsturen, om met phishing persoonlijke info te achterhalen.

Bekijk ook
Verloren AirTag kan iemand naar kwaadaardige website doorsturen

Verloren AirTag kan iemand naar kwaadaardige website doorsturen

Vind je een zoekgeraakte AirTag, dan kun je deze met NFC scannen om te kijken wie de eigenaar is. Je wordt dan naar een website doorgestuurd. Maar dat blijkt te misbruiken met kwaadaardige bedoelingen.

Wil je weten welke bugs en problemen in iOS 15 nog steeds aanwezig zijn? Lees onze round-up!

Bekijk ook
Last van problemen of bugs in iOS 15? Probeer dan deze oplossingen

Last van problemen of bugs in iOS 15? Probeer dan deze oplossingen

Bij elke grote jaarlijkse iOS-update kunnen er dingen mis gaan. Sommige functies lijken niet te werken of er zijn wat kleine problemen, zo ook bij iOS 15. In dit artikel lees je de meest voorkomende bugs en problemen in iOS 15 en wat je zelf kunt proberen om het op te lossen.

 

iOS 15

iOS 15 is de grote iPhone software-update uit het najaar van 2021. Apple heeft iOS 15 in juni 2021 aangekondigd tijdens de WWDC 2021 en is sinds 20 september 2021 voor iedereen te downloaden. De belangrijkste verbeteringen zijn de nieuwe notificaties, de Focus-functie, de verbeteringen in FaceTime en nieuwe privacy-instellingen. Deze versie is inmiddels opgevolgd door iOS 16, maar voor sommige oudere modellen heeft Apple daarna nog beveiligingsupdates voor iOS 15 uitgebracht.

iOS 15

Reacties: 37 reacties

Reacties zijn gesloten voor dit artikel.