image

Securitybedrijf vraagt Apple om noodpatch voor kwetsbaarheid in Mail-app

maandag 11 mei 2020, 16:20 door Redactie, 10 reacties

Securitybedrijf ZecOps heeft Apple om een noodpatch gevraagd voor kwetsbaarheden in de Mail-app voor iOS waardoor kwaadwillenden toegang tot e-mail en zelfs iPhones kunnen krijgen. De beveiligingslekken worden volgens het securitybedrijf al sinds januari 2018 aangevallen, maar Apple ontkent dit.

ZecOps heeft nu meer informatie over de kwetsbaarheden gegeven en looft een beloning van 10.000 dollar uit aan slachtoffers die bewijs hebben dat ze via de beveiligingslekken zijn aangevallen. Tevens zegt het bedrijf meer aanwijzingen te hebben dat er in het verleden misbruik van de lekken is gemaakt. Zo wijst het naar een forumbericht uit 2010 waar iemand melding maakt van een crash die door de één van de kwetsbaarheden wordt veroorzaakt, aldus ZecOps.

In een nieuwe blogposting laat het securitybedrijf naar eigen zeggen zien dat misbruik van de kwetsbaarheden mogelijk is en een aanvaller code op het toestel kan uitvoeren. Exacte details voor een volledige aanval ontbreken echter. Apple heeft nog altijd geen beveiligingsupdate uitgebracht, hoewel de kwetsbaarheden in een bètaversie van de nieuwste iOS-release zijn verholpen.

Wanneer iOS 13.4.5 uitkomt is nog altijd onbekend. ZecOps vraagt Apple dan ook om een noodpatch uit te brengen. Vanwege de kwetsbaarheden adviseerde de Duitse overheid om Apple Mail van iOS-toestellen te verwijderen.

Reacties (10)
11-05-2020, 21:03 door Anoniem
In dezelfde patch zit uiteraard ook de update voor de Corona monitoring apps, daar kun je op wachten. En in het kader van de hoge prioriteit van de mail-bug zal deze update ook vast beschikbaar worden gesteld voor alle oude Apple hardware. Alles voor de locatiedata. (Of ben ik nu te negatief?)
11-05-2020, 22:33 door Anoniem
Das Apple. Ontkennen, ontkennen, en downplayen. Het ligt nooit aan Apple.
12-05-2020, 08:58 door Bitje-scheef
In dezelfde patch zit uiteraard ook de update voor de Corona monitoring apps, daar kun je op wachten. En in het kader van de hoge prioriteit van de mail-bug zal deze update ook vast beschikbaar worden gesteld voor alle oude Apple hardware. Alles voor de locatiedata. (Of ben ik nu te negatief?)

Aluhoedjes in de aanbieding ?
12-05-2020, 09:46 door Anoniem
Door Bitje-scheef:
In dezelfde patch zit uiteraard ook de update voor de Corona monitoring apps, daar kun je op wachten. En in het kader van de hoge prioriteit van de mail-bug zal deze update ook vast beschikbaar worden gesteld voor alle oude Apple hardware. Alles voor de locatiedata. (Of ben ik nu te negatief?)

Aluhoedjes in de aanbieding ?

zullen we het gewoon even afwachten en zien wat er gebeurt?
12-05-2020, 10:13 door Briolet
Door Anoniem: In dezelfde patch zit uiteraard ook de update voor de Corona monitoring apps, daar kun je op wachten. En in het kader van de hoge prioriteit van de mail-bug zal deze update ook vast beschikbaar worden gesteld voor alle oude Apple hardware. Alles voor de locatiedata. (Of ben ik nu te negatief?)

Integendeel. Je bent juist heel positief.
12-05-2020, 12:08 door Anoniem
Door Anoniem: Das Apple. Ontkennen, ontkennen, en downplayen. Het ligt nooit aan Apple.
Weer zo iemand die geen Apple heeft en al helemaal niet over de situatie kan oordelen.
12-05-2020, 12:40 door Anoniem
Door Anoniem:
Door Anoniem: Das Apple. Ontkennen, ontkennen, en downplayen. Het ligt nooit aan Apple.
Weer zo iemand die geen Apple heeft en al helemaal niet over de situatie kan oordelen.
Weer zo iemand die Apple heilig verklaard heeft. Apple geeft zelf aan de lekken (ja het zijn er meerdere) niet als heel risicovol te zien en ze gaat patchen in de standaard IOS update. Dat heet in vaktermen downplayen als het bewijs smack in hun giegeltje wordt gegooid door beveiligingsbedrijven. Downplayen is namelijk de eerste reactie van Apple, dat heeft helemaal niets met de kwaliteit van hun producten te maken maar hoe ze met negatieven berichten omgaan.

Overigens, veel bedrijven en gemeenten vervangen de IOS app door de Outlook app maar vergeten dat alle wachtwoorden en e-mails eerst via de Microsoft servers gaan i.p.v. direct via de eigen Exchange servers. Dat valt nergens uit te zetten dus de Outlook app i.p.v. de native IOS mail app lijkt alsof het middel kwader is dan de aandoening.
12-05-2020, 13:03 door Anoniem
Als een een product niet koopt kan je niet zien hoe een bedrijf reageert op een potentieel lek? Wat een onzin. Volgens mij zit je op de verkeerde website. ;)

Je kan geïnformeerd zijn zonder een product te kopen. Wat een nieuws!
13-05-2020, 00:16 door Anoniem
How Can Apple Improve the Logs?

The lack of details in iOS logs and the lack of options to choose the granularity of the data for both individuals and organizations need to change to get iOS to be on-par with MacOS, Linux, and Windows capabilities. In general, the concept of hacking into a phone in order to analyze it, is completely flawed and should not be the normal way to do it.

We suggest Apple improve its error diagnostics process to help individuals, organizations, and SOCs to investigate their devices. We have a few helpful technical suggestions:

Crashes improvement: Enable to see memory next to each pointer / register
Crashes improvement: Show stack / heap memory / memory near registers
Add PIDs/PPIDs/UID/EUID to all applicable events
Ability to send these logs to a remote server without physically connecting the phone – we are aware of multiple cases where the logs were mysteriously deleted
Ability to perform complete digital forensics analysis of suspected iOS devices without a need to hack into the device first.
Questions for Apple

How many triggers have you seen to this heap overflow since iOS 3.1.3?
How were you able to determine within one day that all of the triggers to this bug were not malicious and did you actually go over each event ?
When are you planning to patch this vulnerability?
What are you going to do about enhancing forensics on mobile devices (see the list above)?

Lijkt mij dat dit voor alle iOS versies tussen 7 t/m 10 al lang afgehandeld had moeten zijn.
Je deed als NL en telecoms immers aan innovatief 3g en 4g, half innoveren is geen innovatie maar paar stappen vooruit proberen te maken en meer stappen achteruit op vlak van security.
13-05-2020, 11:50 door spatieman
ben blij dat het geen android is, want dan kan je een nieuw toestel kopen, en HOPEN, dat het probleem weg is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.