Teleurstellend: iOS 15.0.1 lost bekende bugs en lekken niet op
Welke bugs lost iOS 15.0.1 nou eigenlijk wél op?
Apple bracht vrijdagavond iOS 15.0.1 uit, op het eerste gezicht een hele opluchting voor mensen die al dagenlang met iOS 15 bugs en problemen te maken hebben. Het ontnuchterende nieuws is echter dat Apple in iOS 15.0.1 eigenlijk nauwelijks iets nieuws bevat. In feite zijn slechts twee problemen gefixt:
- Een probleem met het ontgrendelen van je Apple Watch.
- Een iOS-kwetsbaarheid waarbij het lockscreen omzeild kon worden.
In de reacties onder ons eerdere artikel melden lezers dat animaties vlotter lijken te lopen en dat de foutieve weergave van opslag is opgelost. Maar er zijn ook weer nieuwe problemen, zoals verdwenen mail.
Ook wij constateerden al dat het een vrij magere release was.
Lek in iOS 15 gedicht, maar de ontdekker is niet blij
Eén van de problemen die Apple wel heeft gefixt betreft een manier om het ontgrendelscherm van iOS te omzeilen. Apple gaf echter geen credits aan de ontdekker, onderzoeker Jose Rodriguez. Hij gaf in september uitgebreide details over een kwetsbaarheid in iOS waarmee je dankzij VoiceOver en gangbare tools om te delen toegang kon krijgen tot een iPhone.
Rodriguez publiceerde een ‘proof of concept’ op YouTube, om te laten zien hoe de notities van een persoon zonder zijn medeweten kunnen worden gekopieerd en doorgestuurd naar een ander device. De onderzoeker meldde zijn ontdekking niet eerst bij Apple, uit protest tegen het slecht lopende Bug Bounty Program. Blijkbaar heeft dat kwaad bloed gezet bij Apple, want het bedrijf weigert ‘m nu te bedanken voor de ontdekking. Vorige maand gebeurde dat ook toen een bug in macOS Finder werd opgelost.
In een tweet laat Rodriguez weten dat iOS 15.0.1 het probleem wel oplost, maar hem op geen enkele manier heeft bedankt of credits geeft. Daarmee brengt Apple het eigen Bug Bounty Program nog verder in diskrediet.
Klachten over Bug Bounty Program
Ontwikkelaars en onderzoekers klagen over het gebrek aan communicatie en het feit dat Apple probeert om onder de beloning voor ontdekte bugs uit te komen. Ook beveiligingsonderzoekers Denis Tokarev en Bobby Rauch klaagden er onlangs over. Ook zij ontdekten bugs en rapporteerden die aan Apple, maar liepen vervolgens tegen een muur van stilte aan.
Apple’s hoofd beveiligingszaken Ivan Krstic (zie foto), vertelde vorige maand in een interview dat het Bug Bounty Program een “gigantisch succes” is en dat Apple druk bezig is om feedback te verzamelen, terwijl het initiatief ondertussen wordt opgeschaald. Apple zou hard eraan werken om fouten op te lossen en ervan te leren, zodat het programma snel verbeterd kan worden. Apple zou ook een nieuw teamhoofd hebben ingehuurd om het Bug Bounty Program een extra impuls te geven.
Ethische hackers hebben al langer kritiek (paywall) op het Bug Bounty Program van Apple, vanwege de manier waarop Apple met externe beveiligingsexperts omgaat, niet communiceert en moeilijk doet over de beloning. Daardoor is het voor niet-ethische hackers lucratiever om hun ontdekkingen in het grijze circuit te verkopen, zodat het bijvoorbeeld gebruikt kan worden voor malware en spyware. Een exploit voor een Apple-platform kan $2 miljoen opbrengen. Ter vergelijking: begin 2021 kreeg onderzoeker Cedric Owens $5.000 voor een lek waarmee het beveiligingssysteem van de Mac omzeild kon worden.
Drie bekende zero-day lekken niet opgelost in iOS 15.0.1
Gebruikers zullen gemerkt hebben dat veel iOS 15-bugs niet zijn opgelost met de release van iOS 15.0.1. Dat is teleurstellend, maar ook op een ander vlak is er onvrede: er zijn drie zero-day kwetsbaarheden bekend die al maanden geleden bij het bedrijf zijn gemeld, maar ook nu nog niet zijn opgelost. Ze werden vorige week onthuld, in de hoop dat Apple er versneld toch mee aan de slag zou gaan. Maar helaas.
In september maakte beveiligingsonderzoeker Denis Tokarev (illusionofcha0s) bekend dat Apple meerdere zero-day kwetsbaarheden in iOS negeert. Tokarev meldde tussen 4 mei en 10 maart maar liefst vier lekken. Eén ervan werd in iOS 14.7 opgelost, de andere drie zitten nog steeds in iOS 15.0.1. Het gaat volgens Tokarev om niet-kritische kwetsbaarheden, die niettemin belangrijk genoeg zijn om er toch iets aan te doen. Zo is er een bug waarbij kwaadaardige apps je Apple ID-informatie kunnen lezen.
Tokarev raakte gefrustreerd over het gebrek aan communicatie bij Apple en schreef eind september een blogpost, waarin hij uitlegt hoe zijn contacten met Apple zijn verlopen. Apple loste een van de kwetsbaarheden stilletjes in iOS 14.7 op, maar maakte daar geen melding van op de pagina met beveiligingsupdates, ook later niet.
Toen Tokarev ze erover aansprak boden ze excuses aan en spraken over een verwerkingsfout. Het zou later op de pagina met beveiligingsupdates worden toegevoegd. Maar dt gebeurde niet, ook niet drie releases later. Apple las Tokarev’s blogpost, bood opnieuw excuses aan en beloofde de drie resterende kwetsbaarheden te onderzoeken, maar voor de onderzoeker was het geduld op. Hij maakte de drie kwetsbaarheden openbaar en volgde daarbij de standaard protocollen voor het rapporteren van dergelijke kwetsbaarheden.
AirTag-lek genegeerd
Ook onderzoeker Bobby Rauch is gefrustreerd. Hij ontdekte een kwetsbaarheid met AirTag, maar Apple gaf geen antwoord op eenvoudige vragen over de bug en of Rauch er credits voor zou krijgen. Dit lek zorgt ervoor dat aanvallers de vinder van een AirTag naar een kwaadaardige website kunnen doorsturen, om met phishing persoonlijke info te achterhalen.
Wil je weten welke bugs en problemen in iOS 15 nog steeds aanwezig zijn? Lees onze round-up!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Kijk nu de documentaire 'Theft, Death, and Steve Jobs' op YouTube (16-12)
- Deze Chinese autofabrikant maakt meer dan 30 procent van alle iPads - en rukt steeds verder op (02-12)
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
iOS 15
iOS 15 is de grote iPhone software-update uit het najaar van 2021. Apple heeft iOS 15 in juni 2021 aangekondigd tijdens de WWDC 2021 en is sinds 20 september 2021 voor iedereen te downloaden. De belangrijkste verbeteringen zijn de nieuwe notificaties, de Focus-functie, de verbeteringen in FaceTime en nieuwe privacy-instellingen. Deze versie is inmiddels opgevolgd door iOS 16, maar voor sommige oudere modellen heeft Apple daarna nog beveiligingsupdates voor iOS 15 uitgebracht.
Reacties: 37 reacties