image

Google-onderzoeker: Apple moet iOS beter beveiligen

donderdag 9 augustus 2018, 16:09 door Redactie, 12 reacties

Apple moet iOS beter beveiligen, omdat slachtoffers van gerichte aanvallen steeds vaker van iPhones gebruikmaken, zo stelde Google-onderzoeker Ian Beer tijdens de Black Hat-conferentie in Las Vegas. Beer rapporteerde de afgelopen jaren meer dan 30 kwetsbaarheden in iOS.

De onderzoeker verweet Apple dat het bedrijf alleen maar iOS-kwetsbaarheden patcht, zonder de onderliggende hoofdoorzaak te verhelpen waardoor het beveiligingslek kon ontstaan. Elke kwetsbaarheid is volgens Beer dan ook een les waarbij een ontwikkelaar zich verschillende vragen hoort te stellen. "Waarom is deze bug hier? Hoe wordt die gebruikt? Waarom hebben we hem eerder gemist? Welk procesproblemen moeten worden opgelost zodat we hem eerder konden vinden? Wie had toegang tot deze code en controleerde die en waarom hebben ze het niet gemeld?"

Twee jaar geleden startte Apple een besloten beloningsprogramma voor een selecte groep onderzoekers. Deze onderzoekers worden beloond voor het melden van kwetsbaarheden in de producten en software van de techgigant. Beer, die niet uitgenodigd is om aan het programma deel te nemen, liet zowel tijdens zijn presentatie als op Twitter weten dat zijn bugmeldingen aan Apple bij elkaar 2,45 miljoen dollar waard zouden zijn.

Beer vroeg Apple-directeur Tim Cook dan ook om dit bedrag aan Amnesty International te doneren. De reden dat Beer voor Amnesty koos is dat een medewerker van de organisatie onlangs het doelwit van een gerichte aanval was. Het bedrijf achter de infrastructuur die voor de aanval werd gebruikt was eerder verantwoordelijk voor een zeroday-aanval op iPhone-gebruikers in 2016.

Volgens Beer moet Apple iOS beter beveiligen, nu steeds meer slachtoffers van gerichte aanvallen iPhones gebruiken. "Gerichte aanvallen komen vaker voor dan je denkt", aldus de onderzoeker. Hij besloot zijn presentatie door te stellen dat de tijd van losse, geïsoleerde beveiligingsupdates voorbij is en het doel is om de hoofdoorzaak te begrijpen en die te verhelpen, zo meldt Threatpost.

Image

Reacties (12)
09-08-2018, 16:37 door Anoniem
"Ja, maar dat moet van de inlichtingendiensten..... Oeps, dat hadden we niet mogen zeggen."
09-08-2018, 20:11 door Anoniem
Door Anoniem: "Ja, maar dat moet van de inlichtingendiensten..... Oeps, dat hadden we niet mogen zeggen."
Graag een link waar uit dit zou blijken.
09-08-2018, 20:13 door Anoniem
Ja, en Google die maakt producten waar geen fouten in zitten zeker..
09-08-2018, 22:05 door Anoniem
Dat zegt Google met gatenkaas Android? Iedereen wordt openlijk afgeluisterd en gescand en dan wijzen naar anderen? Zorg eerst zelf maar voor een goed systeem.
09-08-2018, 23:47 door Anoniem
Door Anoniem: Ja, en Google die maakt producten waar geen fouten in zitten zeker..

Echt hé, de beveiliging van Android is gewoon barslecht te noemen, maar dan wel mokken op de concurrentie. Lekker makkelijk, zelf een OS maken dat zo lek is als een mandje en dan wel kritiek hebben op de ander. Hij heeft vast nog nooit het reclamespotje van Apple gezien: https://www.youtube.com/watch?v=EmU76dGh8wE&disable_polymer=1
10-08-2018, 00:20 door Anoniem
Nou dan moeten ze dat in Ios 12 doen.
Ook in Mojave wanneer dat uitkomt en alle Apple operatingsystemen,die verwand zijn met IOS.
10-08-2018, 03:17 door Anoniem
Door Anoniem: Ja, en Google die maakt producten waar geen fouten in zitten zeker..
daar gaat het niet om

"Waarom is deze bug hier? Hoe wordt die gebruikt? Waarom hebben we hem eerder gemist? Welk procesproblemen moeten worden opgelost zodat we hem eerder konden vinden? Wie had toegang tot deze code en controleerde die en waarom hebben ze het niet gemeld?"
10-08-2018, 08:21 door Anoniem
Door Anoniem:
Door Anoniem: Ja, en Google die maakt producten waar geen fouten in zitten zeker..
daar gaat het niet om

"Waarom is deze bug hier? Hoe wordt die gebruikt? Waarom hebben we hem eerder gemist? Welk procesproblemen moeten worden opgelost zodat we hem eerder konden vinden? Wie had toegang tot deze code en controleerde die en waarom hebben ze het niet gemeld?"

Daar gaat het dus wel om, want waarom is de beveiliging van Android zo slecht, waarom komen telefoonmakers weg met het niet patchen van hun toestellen? Waarom duurt het soms erg lang, voordat ongewenste software uit Google Play verdwijnt? Dat zijn net zo'n legitieme vragen en als je als Google zo voor veiligheid gaat, moet je de gebruikers van je OS (de fabrikanten) dwingen om te zorgen dat updates meteen wanneer ze uitkomen worden doorgezet naar de toestellen. Het foutloos ontwikkelen is wenselijk, maar menselijk onmogelijk, het maken van patches is noodzakelijk en het doorzetten van die patches is een must. Dat patch proces heeft Apple beter voor elkaar dan Google, want behoudens behoorlijk oude toestellen, worden iPhones altijd gepatched.
10-08-2018, 08:34 door Anoniem
Hij heeft gelijk, alleen had hij niet specifiek Apple moeten noemen omdat het voor alle software geldt. Dta zwakt zijn statement (hoewel het een open deur is) nog verder af.
10-08-2018, 09:05 door Anoniem
Door Anoniem: Dat zegt Google met gatenkaas Android? Iedereen wordt openlijk afgeluisterd en gescand en dan wijzen naar anderen? Zorg eerst zelf maar voor een goed systeem.
Ian Beer werkt voor Google's Project Zero. Dat heeft Google opgericht toen ze merkten dat ze zero-day-kwetsbaarheden vonden die niet alleen henzelf maar ook hun gebruikers raakten, zoals Heartbleed in OpenSSL. Ze besloten daarom een team op te richten dat zich op het vinden van zero-day-kwetsbaarheden richt dat niet alleen naar Google's eigen produkten kijkt maar naar alles wat gebruikers van Google gebruiken. Ze kijken, als ze dit waarmaken, dus wel degelijk naar hun eigen spullen, maar niet uitsluitend.

En als ze het niet waarmaken en kritischer naar concurrenten kijken dan naar zichzelf is er ook geen man overboord. Het staat Apple vrij om ook zo'n team op te zetten en Google kritisch te volgen en te bekritiseren als die op fundamenteel niveau iets niet goed doet. Het kan geen kwaad als concurrenten elkaar scherp houden op een gebied als dit.
10-08-2018, 10:45 door Anoniem
Door Anoniem:
Door Anoniem: Ja, en Google die maakt producten waar geen fouten in zitten zeker..
daar gaat het niet om

"Waarom is deze bug hier? Hoe wordt die gebruikt? Waarom hebben we hem eerder gemist? Welk procesproblemen moeten worden opgelost zodat we hem eerder konden vinden? Wie had toegang tot deze code en controleerde die en waarom hebben ze het niet gemeld?"

Ik weet uit ervaring dat Google op deze manier werkt. Als er een bug in Android wordt gevonden en die wordt opgelost, zul je daarna bijna nooit een vergelijkbare bug kunnen vinden met dezelfde "root cause".

Iedere wijziging wordt door minstens twee personen gecontroleerd en daarnaast hebben ze ook nog teams die je code controleren op leesbarheid. Schrijf je duidelijk genoeg dat andere je code kunnen lezen en snappen wat het doet?

Peter
15-08-2018, 14:34 door Anoniem
Door Anoniem:
Door Anoniem: Ja, en Google die maakt producten waar geen fouten in zitten zeker..
daar gaat het niet om

"Waarom is deze bug hier? Hoe wordt die gebruikt? Waarom hebben we hem eerder gemist? Welk procesproblemen moeten worden opgelost zodat we hem eerder konden vinden? Wie had toegang tot deze code en controleerde die en waarom hebben ze het niet gemeld?"

De juiste manier van werken wordt nu weer door Intel gepresenteerd in hun beschrijving van ForeShadow (https://foreshadowattack.eu/):

Following our discovery of Foreshadow (CVE-2018-3615), Intel identified two closely related variants, potentially affecting additional microprocessors, SMM code, Operating system and Hypervisor software.

Duik in het probleem en zoek de oorzaak. En vindt tegelijk misschien ook wel andere problemen die je gelijk kunt oplossen voor een externe partij ze vindt.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.