Onderzoek: helft iPhones kwetsbaar voor hackers
De helft van alle iPhone-gebruikers draait een oude versie van iOS, waardoor toestellen updates voor meer dan honderd beveiligingslekken missen. Dat stelt Duo Security aan de hand van eigen onderzoek. De helft van de onderzochte toestellen draait iOS 8.4 of 8.4.1, terwijl de andere helft iOS 8.3 of ouder geïnstalleerd heeft. IOS 8.3 verscheen op 8 april van dit jaar, vijf maanden geleden.
Veel gebruikers lopen daardoor risico. Zo werden in iOS 8.4.1 twee grote kwetsbaarheden verholpen, genaamd Ins0mnia en Quicksand. Dit zijn slechts twee bekende kwetsbaarheden. Daarnaast verhielp iOS 8.4.1 nog veel meer beveiligingslekken. Ondanks de impact blijkt dat 91% van de iPhone-gebruikers een week na het uitkomen de nieuwe versie nog niet had geïnstalleerd.
Het onderzoek van Duo Security laat verder zien dat 31% van de iPhones op iOS 8.2 of ouder draait. Deze gebruikers missen updates voor meer dan 160 beveiligingslekken. Daarnaast blijkt dat 14% nog steeds met iOS 7 of ouder werkt. Deze toestellen missen updates voor meer dan 230 kwetsbaarheden. "Vergelijk het met desktopcomputers. We laten een desktop die maanden of jaren aan beveiligingsupdates mist ook niet toe op het bedrijfsnetwerk. We moeten op dezelfde manier over mobiele toestellen nadenken", stelt Mike Hanley.
Voor 20 miljoen iPhone-gebruikers is het echter niet meer mogelijk om te updaten, omdat ze een niet meer ondersteund toestel gebruiken. Het gaat dan om de iPhone, iPhone 3, iPhone 3GS en iPhone 4. Het oudste mobiel dat Apple nog ondersteunt is de iPhone 4s. Als Apple hiervan de ondersteuning stopt zou het aantal toestellen dat geen updates meer ontvangt naar 60 miljoen stijgen. Gebruikers die veilig willen zijn hebben in dit geval geen andere optie dan een nieuw toestel aan te schaffen.
Wat ik ervan weet; Apple heeft het iOS platform behoorlijk goed dichtgetimmerd inmiddels. Zelf aangepaste versies van de software installeren is behoorlijk lastig en soms zelfs onmogelijk. Dat is onder andere zo om downgrade attacks te voorkomen (op zich een goed streven zou je zeggen). Alleen echt oude modellen zijn eenvoudiger te jailbreaken en van andere software te voorzien.
Mooi. Maar toch zijn er nog 2 grote problemen.
1. Apple laat het nog altijd na om duidelijk aan te geven wat ze van plan zijn met een toestel. Gewone consumenten weten niet hoe lang het updates krijgt. En als het update gestopt is, dan moet je dat maar uit de media vernemen. Het toestel zelf laat alleen een versie nummer zien, en dat er "geen" updates beschikbaar zijn. Security experts zijn goed geinformeerd, en weten wel dat een iPad 1 met een niet ondersteunde iOS 5 versie, niet meer veilig is. Maar gewone consumenten, waar dit soort apparaten ook voor bedoeld zijn, die weten dat allemaal niet. Erg jammer dat Apple niet beter communiceert hierover.
2. Apple ondersteunt alleen de recentste versie. Mensen met een hardwarematig nog prima zijnde iPhone 4 of lager, of iPad 1 of lager staan in de kou. Op zich... zou je voor oude OS versies nog best veiligheidsupdates kunnen uitbrengen. Dat kost Apple geld. Maar Consumenten betalen er ook ruim voor. Op zich, functionele toevoegingen, dat is misschien veelgevraagd. Past ook niet in het geheugen van oude toestellen. Maar kom op, veiligheidsupdates, dat kan toch wel? Of, zie 1, duidelijk melden in het apparaat: "Deze iPhone of iPad is over de datum, het is geen veilig apparaat meer."
Maar let er wel op dat als je dat doet de garantie op je toestel niet meer geldt,als die er op zit.
Volgens mij is de andere helft ook kwetsbaar voor hackers. (Dit geldt overigens voor ieder OS)
Gebruik 'm nu nog steeds voor niet-kritische zaken als films kijken en uitzendinggemist.
Het is ook lastig om de data te controleren, het enige wat bekend is dat na 1 week nadat 8.4 uitkwam al 40% over was en dat de mensen die nu op 8.3 zitten misschien deze week al over gaan op 9.0.
Als Apple automatische de update gaat uitvoeren is het ook weer niet goed (zie berichten van Windows 10)
Wat ze vergeten er bij te zeggen dat 85% op versie 8.x zit en 12% op versie 7.x, en 6.x en ouder nog nauwelijks voorkomt.
https://www.gosquared.com/global/ios/8/
Wat dat betreft zou ik me meer zorgen maken om andoid, waar 15% op 5.x, 40% op 4.4 en de ander 45% een OS draait wat al meer dan 2 jaar oud is.
Met andere woorden, de andere helft is onkwetsbaar ? Ik denk het toch niet.... ;)
Ik zou me zorgen maken om dat wat je gebruikt, en niet om zaken waar je het mee kunt vergelijken.
Nou... Het is wel zo dat bv. Cyanogenmod voor Android regelmatig updates heeft waardoor recente Android gerelateerde beveilingsproblemen als Certifi-gate en Stagefright al zijn opgelost. En ook heeft dit soort ROM's vaak minder of zelfs geen bloatware, dus een kleiner aanvalsvlak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.