iOS 9.3.5 snijdt spionagesoftware de pas af

Door: Jan David Hanrath - 19 reacties

Wanneer je nog niet met de publieke beta van iOS 10 speelt, dan staat er in de Instellingen-app een software-update klaar voor iPhone, iPad en iPod touch. iOS 9.3.5 is een snelle fix van Apple, waarmee drie recent ontdekte beveiligingslekken worden gedicht.

Via het lek kon het Isra√ęlische¬†bedrijf NSO-group dat spionage-software maakt in opdracht van geheime diensten meelezen met iMessage, meeluisteren met telefoongesprekken en meekijken met de camera.

Een mensenrechten-activist uit de Verenigde Arabische Emiraten ontving een merkwaardige sms met link van een onbekende afzender. Hij stuurde het bericht door naar specialisten van de universiteit van Toronto. Zij ontdekten wat de malware aanrichtte en brachten Apple hiervan op de hoogte.

De update is ongeveer 40MB groot, afhankelijk van je iOS-apparaat.

Reacties

19 reacties
  • Profielfoto
    Zakske

    iOS 9.3.5 is een snelle fix van Apple, waarmee drie recent ontdekte beveiligingslekken worden gedicht.

    Een “snelle fix” voor drie “zero day exploits”, dat zijn z√©√©r kritieke beveiligingslekken, die al drie jaar in iOS zaten.

    Nu begrijp je waarom Obama geen iPhone heeft…:lol:

  • Profielfoto
    wensink

    Wat is er dan nog waar van die versleuteling van iMessage? Of komt dat omdat de hack op de iPhone zelf is en daardoor de versleuteling omzeilt?

  • Profielfoto
    yasser

    Wat is er dan nog waar van die versleuteling van iMessage? Of komt dat omdat de hack op de iPhone zelf is en daardoor de versleuteling omzeilt?
    [/quote1

    Dit is enkel wanneer je op de “link” klikt en de “malware” op de iPhone wordt ge√Įnstalleerd (ik begrijp het toch zo )

  • Profielfoto
    Alexander Henket

    Apple fixed the holes 10 days after a tip from two researchers

    @Zakske: die gaten kunnen er best 3 jaar in zitten of langer zoals bij Cisco, maar als deze pas laat wordt gevonden of gemeld, kun je niet eerder reageren toch? Je kunt niks fiksen als je niet weet dat het mis is. Die NSO-groep heeft het niet gemeld omdat zij bestaan bij de gratie van dit soort gaten.

    Vandaar dat die bountyprogramma’s en het in dienst houden van goede mensen zo belangrijk is.

  • Profielfoto
    Rogierdk

    Lijkt wel Windows… Elke week een nieuwe update..

  • Profielfoto
    NapO

    mensen die zomaar links aan klikken in sms’jes moet je hun telefoon afnemen…die zijn niet iphone waardig…..

  • Profielfoto
    bartvdv

    @Nap0 (null): Dus een iPhone is er alleen voor ‘slimme’ mensen ? Stond Apple -bewust in de verleden tijd – niet voor eenvoud en veiligheid ? En stonden er nog niet zo lang geleden apps in de offici√ęle Apple Store die malware bevatten ?

  • Profielfoto
    polansky

    iOS 9.3.5 is een snelle fix van Apple, waarmee drie recent ontdekte beveiligingslekken worden gedicht.

    Een snelle fix?

    Ik las net op Tweakers dat dit lek al minstens 3 jaar actief wordt misbruikt.
    Niks snel aan die fix.

    Je kunt niks fiksen als je niet weet dat het mis is.

    .
    Er zijn ook bedrijven en slimme jongens die je kunt inhuren om juist dit soort zaken op te sporen. Klaarblijkelijk neemt Apple het niet zo nauw of zijn ze niet bereid om te betalen voor het opsporen van dit soort gaten in hun software. Er is geen excuus om Apple hier de hand boven het hoofd te houden als je ook de middelen en in dit geval ook het geld hebt om zelf actief op zoek te gaan naar dergelijke kritieke fouten.

  • Profielfoto
    Buzz

    polansky: Dat is een grote “klaarblijkelijk”. Want hoe weet jij hoeveel geld Apple uitgeeft aan het zelf actief op zoek gaan, en hoe weet jij dat dat niet genoeg is?

  • Profielfoto
    Pivni Pes

    Andermans boeken zijn duister en iedereen weet zijn of haar verhaal.
    Internet staat vol van aannames.

  • Profielfoto
    Buzz

    Inderdaad, en daarom is het onderscheid kunnen maken tussen aannames en feiten één van de belangrijkste vaardigheden geworden.

    Feit is dat je zelfs met alle geld en wil van de wereld er nooit verzekerd van kan zijn dat het aantal bugs in complexe software tot nul gereduceerd kan worden.

    Vooruitgang op dit gebied gaat langzaam, maar je kan Apple er moeilijk van beschuldigen er niks aan te doen. Kijk maar naar de features van Swift om dit soort veiligheidsproblemen te voorkomen, en kijk maar naar het recent ge√Įntroduceerde bug bounty programma. Goed, achteraf had je kunnen zeggen ze daarmee 10 jaar eerder ook al hadden kunnen beginnen, en dat daarmee wellicht deze exploits voorkomen hadden kunnen worden. Maar achteraf is het altijd wel heel makkelijk praten.

  • Profielfoto
    Tee Loo

    Buzz(y)

  • Profielfoto
    janvanes

    Sinds een paar jaar bevindt Apple’s op √©√©n na grootste Research & Development centrum zich in Herzliya (Israel), met ook nog Apple R&D centra in Raana en Haifa (ook in Israel). Zou men daar ook aan iOS werken?

  • Profielfoto
    Buzz

    Als je kijkt naar de bedrijven die Apple in Isra√ęl heeft overgenomen dan gaat het met name om hardware: flash-geheugen, chips/sensors voor motion detection, en camera’s.

    http://www.timesofisrael.com/apple-buys-photo-tech-firm-linx-for-its-third-israel-acquisition/

  • Profielfoto
    GoeieDag

    Polansky en Zakje zijn Droid gebruikers, vanwege de inherente veiligheid van Droid; daarom hebben ze alle recht om te trollen over iOS.

  • Profielfoto
    Dydefox

    Hmmmm…maar goed dat ik voor mijn illegale activiteiten een andere telefoon gebruik, zodat ze mij nooit kunnen linken aan dit onschuldige account. Hahaha….oh kut.

  • Profielfoto
    smacdab

    https://app.dealroom.co/companies/cybertech_international/valuation

    Cybertech/Nice, Alkmaars/isra√ęlisch bedrijf en kiest voor Exact software (gaat de onlineboekhouding ook via Isra√ęl?)

    ‘meesters in meeluisteren’

  • Profielfoto
    polansky

    @polansky, nogmaals, ben je dom of doe je dom? Apple heeft zowaar de beste mensen ter wereld in dienst om zulke zaken op te sporen. De engineers die de besturingssystemen gemaakt hebben hebben ook de bugs gemaakt en weten dus als de besten waar de mogelijke fouten zich kunnen bevinden. Moest het gewoon een kwestie van geld zijn om deze engineers in te huren zou de FBI niet liggen smeken voor een encryption key

    Nummertje 36 Als ze bij Apple zo slim zijn zoals je beweert, dan kun je ook vast antwoord geven op de vraag waarom ze dan met hun beste mensen ter wereld een gaatje in hun software niet kunnen vinden die een ander wel gevonden heeft.

    Hou toch eens op met dat geblaaskaak van je.
    Schelden is zo’n Wilders mentaliteit dat ik wel weet wat voor typetje jij bent…

    Als jij (en anderen) je moet verlagen tot schelden of kleineren om zo door jouzelf een grote jongen gevonden te worden. Acteer je niet alleen als een klein kind, maar zegt dat ook heel veel over je eigen intelligentieniveau.

  • Profielfoto
    Buzz

    Nummertje 36 Als ze bij Apple zo slim zijn zoals je beweert, dan kun je ook vast antwoord geven op de vraag waarom ze dan met hun beste mensen ter wereld een gaatje in hun software niet kunnen vinden die een ander wel gevonden heeft.

    Daar heb ik toch al antwoord op gegeven? Zo gaat dat met dit soort bugs, het is als zoeken naar een naald in een hooiberg. Dat is niet een probleem waarvoor je een snelle oplossing kan garanderen, ook niet als je heel veel geld en talent ter beschikking hebt.

    De ene keer worden de bugs wel als eerste binnen Apple gevonden, en dan horen we er niks over, want ze worden dan stilletjes in een software update gerepareerd voordat iemand er misbruik van kan maken.

    De andere keer worden ze eerder door iemand anders gevonden, en als die het geheim houden om er honderden miljoenen mee te kunnen verdienen, dan komt het pas na een hele tijd op deze manier in het nieuws.

    Dat is toch niet zo moeilijk te begrijpen?

    Wat Apple hiernaast de laatste jaren doet is haar programmeeromgeving zo inrichten dat dit soort bugs in de toekomst minder vaak zullen voorkomen. Maar om het helemaal uit te sluiten heeft nog niemand een oplossing bedacht. En Apple gaat sinds kort opbieden tegen de bedrijven die, soms voor honderden miljoenen dollars, informatie over deze bugs van onderzoekers kopen om vervolgens software te verkopen om in het geheim misbruik van deze bugs te kunnen maken.