Apple komt in iOS 15 met nieuwe beveiligingsmaatregelen voor iMessage
Apple zal in iOS 15 nieuwe beveiligingsmaatregelen toevoegen om aanvallen via iMessage lastiger te maken. Gisteren lieten onderzoekers van Citizen Lab weten dat er het afgelopen jaar meerdere zero-click-aanvallen in iMessage zijn gebruikt om iPhone-bezitters met de Pegasus-spyware te infecteren. Bij een zero-click-aanval is er geen interactie van het slachtoffer vereist, alleen het versturen van een bericht is voldoende om het toestel over te nemen.
"Het is frustrerend dat er nog steeds deze niet te verwijderen app op iOS is die data en berichten van iedereen accepteert", zegt beveiligingsonderzoeker Patrick Wardle tegenover Wired. "Wanneer iemand een zero-click iMessage-exploit heeft kunnen ze het overal vandaan versturen en je op elk moment raken." De onderzoeker zou graag zien dat Apple de optie biedt om iMessage volledig uit te schakelen.
Citizen Lab waarschuwde gisteren dat het uitschakelen van iMessage de waargenomen aanvallen had kunnen voorkomen. De NSO Group, verantwoordelijk voor de ontwikkeling van de zero-click exploits, heeft echter ook andere chatapps in het verleden gebruikt om spyware te verspreiden, zoals WhatsApp. Het uitschakelen van iMessage en FaceTime had dan ook geen volledige bescherming tegen zero-click-aanvallen geboden, zo merken de onderzoekers op. Daarnaast zou het uitschakelen van iMessage ervoor zorgen dat berichten onversleuteld worden verstuurd, wat het eenvoudig voor aanvallers maakt om ze te onderscheppen.
Apple laat tegenover Wired weten dat het in iOS 15 extra beveiligingsmaatregelen zal toevoegen om iMessage-gebruikers tegen aanvallen te beschermen. Wat deze nieuwe maatregelen precies inhouden is echter nog onbekend. "De beschreven aanvallen zijn zeer complex, kosten miljoenen dollars om te ontwikkelen, zijn vaak kort inzetbaar en worden tegen specifieke individuen ingezet", zegt Ivan Krstic, hoofd security-engineering bij Apple. Volgens Krstic lopen de meeste iPhone-bezitters dan ook geen risico door dit soort aanvallen.
Of kan dat alleen op de iPad wellicht?
iMessage op een iPad is alleen handig wanneer er een sim-kaart in de iPad zit. Zonder simkaart werkt iMessage op de iPad alleen wanneer je een iPhone hebt die dmv. het hetzelfde apple-id aan de iPad.
IMessage werkt ook zonder mail-adressen, dus ontkoppelen heeft totaal geen zin.
De vraag is of het alternatief SMS dan veel veiliger is; daar zijn al jaren niet-te-fixen exploits voor bekend. SMS is niet uit te schakelen op een iPhone. Dat kan wel door b.v. op een Nokia het nummer van de berichtencentrale blanco te laten.
Als je een iPhone hebt en je wil iets van privacy, dan moet je er simpelweg niets persoonlijks op zetten. De vraag is dan of dat apparaat nog € 1000,- waard is als het alleen nog maar geschikt is voor wat te bellen en internetten (en pronken).
Apple is al jaren bezig nieuwe beveiligingsfeatures toe te voegen en nog steeds lukt het niet een veilig toestel te maken, dat gaat met iOS 15 echt niet beter worden zolang er belang is bij onveilige apparaten. Het enige dat dit kan veranderen is encyptie gebruiken die relatief gemakkelijk te kraken valt (of helemaal geen encryptie), dan vervalt ook het belang van onveilige apparaten. Wat dat betreft was het vroeger beter: een Nokia 5110 was 'niet te hacken' maar men kon wel de locatie en SMS berichten bij de provider opvragen. Nu kan elk vaag regime of boevenbende in elk toestel ter wereld, als ze maar de juiste zero-day hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.