Apple kritiseras – gamla sårbarheter i IOS åtgärdades inte på två år

Apple kritiseras – gamla sårbarheter i IOS åtgärdades inte på två år

Under två års tid har Apples operativsystem IOS för mobila enheter dragits med allvarliga säkerhetsbrister. Nu riktas skarp kritik mot företagets svar på avslöjandet.

I början av september avslöjade Googles säkerhetsgrupp Project Zero att Apples operativsystem IOS dragits med allvarliga säkerhetsbrister i två års tid. Apples svar skulle dröja en hel vecka och när svaret väl dök upp innehöll det ifrågasättande av detaljer i rapporten.

Säkerhetsbristerna i fråga var så kallade "Zero Day Exploits", vilket innebär att implementationer av sårbarheter finns tillgängliga samma dag som sårbarheterna i fråga upptäcks. De brister som funnits i IOS har gjort det möjligt att installera skadlig kod, så kallad malware, på IOS-enheter via exempelvis webbplatser.

ios_timeline.jpg

Project Zero-gruppens tidslinje för när sårbarheterna i IOS upptäckts över tid.

Allvaret i dessa sårbarheter har dock förstärkts av att de utnyttjats för att rikta in attacker mot den muslimska gruppen uigurer. Denna grupp återfinns till största del i den kinesiska provinsen Xinjiang. Säkerhetsföretaget Volexicty har hittat elva webbsidor relaterade till uigurer-muslimer som innehåller kod som utnyttjar säkerhetsbristerna.

Zero Day-gruppen kritiserar Apple för att dessa sårbarheter tillåtits finnas tillgängliga för illasinnade i två års tid, men i det pressmeddelande Apple gick ut med i slutet av förra veckan tonas allvaret ned. Apple menar att mycket tyder på att sårbarheterna var aktiva under två månaders tid, inte två år.

Last week, Google published a blog about vulnerabilities that Apple fixed for iOS users in February. We’ve heard from customers who were concerned by some of the claims, and we want to make sure all of our customers have the facts.

First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described. The attack affected fewer than a dozen websites that focus on content related to the Uighur community. Regardless of the scale of the attack, we take the safety and security of all users extremely seriously.

Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case.

Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies. We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs.

Kritiken menar att Apples svar marginaliserar vilken effekt sårbarheterna har haft på en redan utsatt folkgrupp i Kina. Andra säkerhetsanalytiker menar att Apples sena och nedtonande svar kan bero på att företaget satsar hårt på att etablera sig på den kinesiska marknaden, och att de därför inte vill stöta sig med politiska frågor i landet.

Project Zero-gruppen riktar också kritik mot Apples metoder för utveckling och kvalitetssäkring av mjukvara. Kritiken menar att denna sortens brister borde upptäckts tidigare med fungerande metoder för kvalitetssäkring. En annan kritik som lyfts är att Apple svar riskerar att skapa ett kyligt förhållande till utvecklare och säkerhetsgrupper.

Vidare säger sig Project Zero-gruppen ha rapporterat över 200 sårbarheter till Apple under årens lopp och att attityd likt det i Apples svar på de senaste sårbarheterna inte lägger en grund för goda förhållanden med de som hjälper till med säkerhetsfrågor.

Sårbarheterna i IOS åtgärdades med säkerhetsuppdateringar i februari i år. IOS 13, nästa version av Apples mobila operativsystem, presenterades under utvecklarmässan WWDC tidigare i år. Systemet väntas lanseras i skarp version under morgondagens Apple-event klockan 19:00 svensk tid.

Läs mer om Apple och säkerhetsbrister:

Erbjudande: SweClockers Wireframe No. 1 & Turbo Power

Två stilsäkra t-shirtar i begränsad upplaga. Nu i paket med rabatterat pris! Endast förbokning.

Köp här!

Skicka en rättelse
Kommentarer till artikeln

24 debattinlägg

6

Digitala museet Noclip går bakom kulisserna på klassiska spelbanor

Vad döljer sig egentligen strax utanför bild i dina gamla favoritspel? Webbplatsen Noclip bjuder på en interaktiv resa som besvarar just detta. Läs mer

36

Razer Core X Chroma – kan en Ultrabook bli spelmaskin?

Bärbara datorer för jobb och nytta orkar sällan med moderna spel. Med ett externt grafikkort kan det bli annat ljud i skällan – eller? Häng med när Kenneth snabbtestar! Läs mer

20

Corsair tar populära DDR4-serien Vengeance LPX till 4 866 MHz

Den långlivade och populära minnesserien Vengeance LPX släpps nu i flaggskeppsutförande med frekvenser om 4 866 MHz, något som ackompanjeras av en saftig prislapp. Läs mer

1

Razer lanserar Huntsman Tournament Edition – kompakt tangentbord med optiska brytare

Tangentbord i tenkeyless-format är en populär kompromiss mellan funktionalitet och storlek. Nu utökar Razer Huntsman-familjen med ett sådant tangentbord, utrustat med linjära optiska brytare. Läs mer

20

Retro i galleriet – AMD 486-bygge för LAN

Ryzen i all ära – på den gamla goda tiden gällde 486, vare sig det var AMD, Intel eller Cyrix som stod för fiolerna. Häng med när pa1983 bygger för retro-LAN. Läs mer

10

Gigabyte röjer styrkretsarna Z490, H470, Q470, B460 och H410 för Intel Comet Lake

Tillverkaren Gigabyte har registrerat en lång rad moderkort i en databas. Hos samtliga syns tidigare okända styrkretsar som ska släppas tillsammans med framtida processorer från Intel. Läs mer

118

Actionskjutaren Borderlands 3 ute nu! Har du hunnit testa?

Under året har Gearbox avtäckt allt fler detaljer om den tredje delen i Borderlands-serien, som nu lanserats. På menyn står skruvad action och den utmärkande grafiken. Hoppa in i forumet och diskutera det färska storspelet! Läs mer

20

Testpilot: Phanteks Eclipse P400A – mesh är det nya svarta

Välkända Phanteks tar omtyckta Eclipse P400 och uppdaterar denna med RGB-fläktar samt perforerad front. Testpiloten Daniel "Dinoman" Ördén tittar närmare på nya Eclipse P400A. Läs mer

34

Ska du knipa biljett till The International 2020?

Dota 2-turneringen The International kommer lite oväntat till Stockholm – en stor snackis bland intresserade svenskar. Kommert du försöka köpa biljett? Läs mer

14

Fredagspanelen 178: AMD:s boostfrekvenser, RX 5700 XT från partners och nytt från Apple

Mer boost-snack än du visste du ville ha, senaste nytt från testlabbet och Jonas funderingar om Apple Watch – allt i senaste avsnittet av Fredagspanelen, på en Youtube-kanal nära dig klockan 19:00. Läs mer

I samarbete med Arlo
31

Yoshman testar övervakning av hemmet med kameror från Arlo

Efter att ha gått igenom grunderna är det dags för medlemmen Yoshman att sätta upp ett smart övervakningssystem och fullständigt nörda ned sig bland funktionerna. Läs mer

207

SweClockers Meet & Geek i Göteborg ikväll – hugg de sista platserna!

Sjukdomar och andra avhopp har gjort att ett tidigare fullbokat Meet & Geek i Göteborg har några platser över. Ses vi på GG Bar ikväll klockan 18:00? Läs mer