Het afgelopen jaar heeft Google negen beveiligingslekken in Safari aangetroffen via een tool die het zelf publiekelijk maakte. Een jaar geleden liet de internetgigant weten dat het 31 beveiligingslekken in verschillende browsers had aangetroffen via een tool genaamd Domato.

De tool richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd. DOM-engines in browsers zijn een voorname bron van beveiligingslekken, zo liet Ivan Fratric van Google destijds weten.

Veel van deze kwetsbaarheden zijn via zogeheten fuzzers te vinden. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

Naast het openbaar maken van de onderzoeksresultaten publiceerde Google ook de Domato-fuzzer. Nu een jaar verder heeft Fratric opnieuw onderzoek gedaan. Daarbij werd er specifiek gekeken naar Safari. Van de 31 kwetsbaarheden die Google vorig jaar openbaarde bevonden zich er 17 in Safari. De onderzoeker wilde dan ook kijken of er een jaar later iets veranderd was.

Wederom werd er met Domato getest. De tool werd 100.000.000 gedraaid, wat uiteindelijk negen unieke beveiligingslekken in Safari opleverde die aan Apple werden gerapporteerd. De rekenkracht die voor het onderzoek was vereist kost naar schatting 1000 dollar. "Een bedrag dat voor een grote verscheidenheid aan hackers met verschillende motivaties betaalbaar is", aldus de onderzoeker in een analyse.

"Apple misleidt met beveiligingsbulletins"

De negen kwetsbaarheden werden tussen 15 juni en 2 juli van dit jaar aan Apple gerapporteerd. Op 17 september verscheen er een beveiligingsupdate voor iOS, tvOS en Safari. Fratric hekelt het feit dat Apple de kwetsbaarheden in eerste instantie niet in deze beveiligingsbulletins vermeldde. Dit gebeurde een week later nadat ook de beveiligingsupdate voor macOS verscheen waarin de problemen waren verholpen.

"Dit is misleiding, omdat klanten die in Apple-beveiligingsbulletins zijn geïnteresseerd ze waarschijnlijk één keer lezen en dan het idee krijgen dat de updates veel minder en minder ernstige kwetsbaarheden verhelpen dan eigenlijk het geval is", zo stelt Fratric. Ook hekelt de onderzoeker het feit dat Apple niet altijd tegelijkertijd updates voor iOS en macOS uitbrengt, waardoor gebruikers van het ene platform risico kunnen lopen.