US-CERT waarschuwt voor recent ontdekt iOS-lek
Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft Apple-gebruikers gewaarschuwd voor het recent onthulde lek in iOS waardoor malware in bepaalde gevallen op zowel gejailbreakte als niet gejailbreakte iPhones en iPads goedaardige apps door kwaadaardige versies kan vervangen, zonder dat gebruikers dit direct doorhebben.
De "Masque-aanval", zoals beveiligingsbedrijf FireEye het probleem noemt, is mogelijk doordat iOS niet controleert of apps met dezelfde "bundle identifier" wel over passende certificaten beschikken. Apple's eigen iOS-apps zouden echter niet kwetsbaar zijn. Via de aanval kan een app rootrechten krijgen, het toestel monitoren, gevoelige gegevens benaderen en inloggegeven stelen, zo waarschuwt het US-CERT.
Om zich tegen de aanval te beschermen krijgen gebruikers drie tips. Als eerste moeten er alleen apps van de Apple App Store of eigen organisatie worden gedownload, moeten er geen third party apps via websites worden geïnstalleerd en moet een app die de waarschuwing "Untrusted App Developer" geeft direct worden verwijderd. In een reactie tegenover iMore laat Apple weten dat het vooralsnog geen aanvallen op het lek heeft gezien.
Maar eigenlijk verschilt het niet of niet zoveel van mogelijke dreigingen op een desktop met malware applicaties.
Je moet immers zelf toestemming geven voor het installeren.
Met het bewust installeren van lelijke software krijg je wel van alles gedaan op elk apparaat.
Niets nieuws onder de zon.
Tenzij je de rechten niet hebt, maar op een iPad werken gebruikers niet met een standaard en een admin account.
(Als ze al een wachtwoord gebruiken of weten dat ze er een hebben, komen ze achter na een iOs update, geen backup en resetten maar :(
Kortom, dat ene veld om een app te installeren zou wellicht nog een vangnet toestemmings-klik kunnen gebruiken, bijvoorbeeld een kopie van de melding die je krijgt bij het voor de eerste keer openen van een app.
Dat zal helpen bij een install pop up als je net op een onbekende website bent beland (wakker worden helder nadenken).
Maar dan nog, als die gebruiker die app wil en op "Ja Ik Wil Deze Malware en Wel Nu Direct Meteen!" klikt ...
Je kan technisch van alles verzinnen aan oplossingen, probeer het als fabrikant desgewenst ook.
Het is uiteindelijk de gebruiker die dat vingertje moet leren beheersen bij het woord 'gratis'.
Geldt voor alles soorten platforms en apparaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.