Apple kritiseras – gamla sårbarheter i IOS åtgärdades inte på två år

Apple kritiseras – gamla sårbarheter i IOS åtgärdades inte på två år

Under två års tid har Apples operativsystem IOS för mobila enheter dragits med allvarliga säkerhetsbrister. Nu riktas skarp kritik mot företagets svar på avslöjandet.

I början av september avslöjade Googles säkerhetsgrupp Project Zero att Apples operativsystem IOS dragits med allvarliga säkerhetsbrister i två års tid. Apples svar skulle dröja en hel vecka och när svaret väl dök upp innehöll det ifrågasättande av detaljer i rapporten.

Säkerhetsbristerna i fråga var så kallade "Zero Day Exploits", vilket innebär att implementationer av sårbarheter finns tillgängliga samma dag som sårbarheterna i fråga upptäcks. De brister som funnits i IOS har gjort det möjligt att installera skadlig kod, så kallad malware, på IOS-enheter via exempelvis webbplatser.

ios_timeline.jpg

Project Zero-gruppens tidslinje för när sårbarheterna i IOS upptäckts över tid.

Allvaret i dessa sårbarheter har dock förstärkts av att de utnyttjats för att rikta in attacker mot den muslimska gruppen uigurer. Denna grupp återfinns till största del i den kinesiska provinsen Xinjiang. Säkerhetsföretaget Volexicty har hittat elva webbsidor relaterade till uigurer-muslimer som innehåller kod som utnyttjar säkerhetsbristerna.

Zero Day-gruppen kritiserar Apple för att dessa sårbarheter tillåtits finnas tillgängliga för illasinnade i två års tid, men i det pressmeddelande Apple gick ut med i slutet av förra veckan tonas allvaret ned. Apple menar att mycket tyder på att sårbarheterna var aktiva under två månaders tid, inte två år.

Last week, Google published a blog about vulnerabilities that Apple fixed for iOS users in February. We’ve heard from customers who were concerned by some of the claims, and we want to make sure all of our customers have the facts.

First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described. The attack affected fewer than a dozen websites that focus on content related to the Uighur community. Regardless of the scale of the attack, we take the safety and security of all users extremely seriously.

Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case.

Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies. We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs.

Kritiken menar att Apples svar marginaliserar vilken effekt sårbarheterna har haft på en redan utsatt folkgrupp i Kina. Andra säkerhetsanalytiker menar att Apples sena och nedtonande svar kan bero på att företaget satsar hårt på att etablera sig på den kinesiska marknaden, och att de därför inte vill stöta sig med politiska frågor i landet.

Project Zero-gruppen riktar också kritik mot Apples metoder för utveckling och kvalitetssäkring av mjukvara. Kritiken menar att denna sortens brister borde upptäckts tidigare med fungerande metoder för kvalitetssäkring. En annan kritik som lyfts är att Apple svar riskerar att skapa ett kyligt förhållande till utvecklare och säkerhetsgrupper.

Vidare säger sig Project Zero-gruppen ha rapporterat över 200 sårbarheter till Apple under årens lopp och att attityd likt det i Apples svar på de senaste sårbarheterna inte lägger en grund för goda förhållanden med de som hjälper till med säkerhetsfrågor.

Sårbarheterna i IOS åtgärdades med säkerhetsuppdateringar i februari i år. IOS 13, nästa version av Apples mobila operativsystem, presenterades under utvecklarmässan WWDC tidigare i år. Systemet väntas lanseras i skarp version under morgondagens Apple-event klockan 19:00 svensk tid.

Läs mer om Apple och säkerhetsbrister:

Erbjudande: SweClockers Wireframe No. 1 & Turbo Power

Två stilsäkra t-shirtar i begränsad upplaga. Nu i paket med rabatterat pris! Endast förbokning.

Köp här!

Skicka en rättelse
Kommentarer till artikeln

24 debattinlägg

0

Gigabyte avslöjar moderkort för kommande Ryzen Threadripper och "Cascade Lake-X"

Moderkortsmakaren Gigabyte är flitig med att avslöja produkter och nu har bolaget registrerat en rad varianter bestyckade med styrkretsarna TRX40, Z490 och X299X. Läs mer

9

Vattenkylning i svart och vitt när "Nagelfar" bygger Venom-inspirerad dator

Med Marvels seriefigur Venom som inspiration har medlemmen "Nagelfar" fyllt ett Fractal Design R6 med kraftfulla komponenter och temariktig vattenkylning. Hoppa in i galleriet för en närmare genomgång! Läs mer

31

Snabbtest: Actiontunga Gears 5 rullar utmärkt på PC

PC-spelare får återigen ta del av Gears of War-serien, där det nylanserade spelet Gears 5 bjuder på en riktigt gedigen portning. SweClockers laddar riggarna för ett snabbt prestandatest. Läs mer

10

Intels 18-kärniga Core i9-10980XE prestandatestas i Geekbench 4

I oktober ska Intel släppa lös nya processorer för HEDT-plattformen X299, i form av familjen "Cascade Lake-X". Paradnumret ska vara något förbättrad hårdvara, men till betydligt lägre pris. Läs mer

15

Nvidia Geforce GTX 1650 Ti kan lanseras 22 oktober – kontrar Radeon RX 5600-serien

Instegsmodellen Geforce GTX 1650 Ti sägs enligt kinesiska källor lanseras den 22 oktober. Då modellen ska konkurrera med Radeon RX 5600-serien kan det även antyda om när den lanseras. Läs mer

57

Quiz: Har du koll på förkortningar i tekniksvängen?

Förkortningar och bokstäver kan betyda allt möjligt – ibland något märkligt eller ovanligt komplicerat. Vi har samlat tio olika varianter. Hur många sätter du? Läs mer

44

AMD:s 16-kärniga Ryzen 9 3950X försenas – släpps i samband med nya Threadripper

Med Ryzen 9 3950X ska AMD ta 16 processorkärnor till sockel AM4. Nu meddelas att lanseringen skjuts från september till november, samma månad som nya Ryzen Threadripper gör entré. Läs mer

40

Nintendo Switch Lite är här och Andreas har redan köpt en

Nintendo Switch-familjen får tillökning av nedskalade och billigare Lite. Andreas och Emil tar plats i studion för att snacka om nykomlingen. Läs mer

21

AOC lanserar G2-serien – skärmar med IPS och 1080p i 144 Hz

Den nya G2-seriens skärmar innehåller den något ovanliga kombinationen av IPS-paneler, 1080p-upplösning och 144 Hz bilduppdatering. Läs mer

8

Total War Saga: Troy avtäcks – mänskliga minotaurer och ekonomi utan pengar

Total War Saga: Troy tar spelserien till sin tidigaste epok någonsin – bronsåldern och Illiadens Grekland. Slåss för ära och rättvisa i stora bataljer, som Akilles eller Trojas prins Hector. Läs mer

35

Sony Playstation 5 kan få sällskap av Pro-modell på lanseringsdagen

Nästa år lanserar både Sony och Microsoft nästa generations spelkonsoler. Nu framgår det att Sony kan lansera en högpresterande Pro-variant samtidigt som standardmodellen. Läs mer

I samarbete med MSI
38

Uppgradera grafikkort för Borderlands 3 – SweClockers testar åtta olika modeller

Håller ditt grafikkort måttet att återvända till planeten Pandora eller är det dags för en uppgradering? SweClockers testar hur årets skörd av grafikkort står sig i Borderlands 3. Läs mer