Raymon Mens
Raymon Mens Nieuws 5 januari 2018

Meltdown en Spectre: wat Apple-gebruikers over deze beveiligingslekken moeten weten

Dinsdag schreven we over een blunder van Intel die de prestaties van Mac en PC beïnvloed. Uit nieuwe informatie blijkt dat het niet om een, maar om twee beveiligingslekken gaat. Bijna alle moderne smartphones, tablets en computers zijn getroffen. Ook Apple-apparaten zoals de iPhone, iPad en Mac.

Meltdown en Spectre zijn ernstige kwetsbaarheden

De bugs hebben ook een naam, namelijk Meltdown en Spectre. Het zijn ernstige kwetsbaarheden die kwaadaardige apps in staat stellen om privé-informatie die door andere apps verwerkt wordt uit te lezen. Heel simpel gezegd zijn de maatregelen die processors nemen om de gegevens van verschillende apps te scheiden niet voldoende.

Wat zijn de verschillen?

De kwetsbaarheden ontstaan door iets dat speculative execution heet. Moderne processors in een computer, tablet of smartphone denken bij het uitvoeren van instructies vooruit. Ze voeren ook uit wat ze denken dat gaat gebeuren. Vaak klopt dat en daardoor merk je dat de computer sneller reageert.

Soms klopt het niet en moet de voorspelde actie ongedaan worden gemaakt. Daarbij ontstaan de problemen, want gegevens die gebruikt zijn om vooruit te denken, zijn met een aantal trucjes toch uit te lezen. Meltdown relatief eenvoudig op te lossen, maar Spectre niet. Dit zijn de verschillen:

  • Meltdown: Stelt een kwaadaardige applicatie in staat om het kernelgeheugen uit te lezen. In de kernel worden zaken als het opslaan van bestanden en openen van netwerkverbindingen geregeld. Daarom zijn willekeurige gegevens op te vissen. Het hangt ervan af wat in het kernelgeheugen zit, maar vaak zijn dit delen van bestanden of wachtwoorden.
  • Spectre: Geeft niet alleen toegang tot het kernelgeheugen, maar ook tot het geheugen dat andere applicaties gebruiken. Stel dat je net een naaktfoto hebt genomen, dan kan een kwaadaardige app die uit het geheugen dat de camera-app gebruikt vissen.
Klik/tap voor groter.

Apple-apparaten deels gepatcht

Alle Apple-apparaten zijn al beveiligd tegen Meltdown. In iOS 11.2, macOS 10.13.1 en tvOS 11.2 zitten maatregelen die de kwetsbaarheid oplossen. Volgens Apple zijn de prestaties hierdoor niet noemenswaardig afgenomen. Let op: macOS Sierra 10.12.6 en OS X El Capitan 10.11.6 hebben in tegenstelling tot eerdere berichten nog geen beveiligingsupdate die Meltdown onschadelijk maakt gehad.

Voor Spectre is nog geen definitieve oplossing beschikbaar. Dit lek is ook een stuk moeilijker op te lossen en aan een fundamentele oplossing wordt nog gewerkt. Apple brengt binnenkort wel een patch voor Safari uit die het onmogelijk maakt om het Spectre-lek via de webbrowser uit te voeren. Kwaadaardige code kan namelijk ook in javascript, dat door websites gebruikt wordt, zitten. Google neemt in Chrome 64 maatregelen en die update moet op 23 januari uitkomen. Firefox 57.0.4 is al uit en bevat ook maatregelen.

De Apple Watch is niet vatbaar voor Meltdown of Spectre. Dat komt omdat de kleine chip in het slimme horloge niet aan speculative execution doet.

safari
Klik/tap voor groter.

Wat moet je in de tussentijd doen?

Dit weekend maar geen iPhone, iPad of MacBook gebruiken? Dat is overdreven, maar let wel goed op. Het is goed om de laatste iOS- en macOS-updates te installeren. Installer geen apps die uit een onbekende bron komen, want zolang je geen kwaadaardige app binnenlaat kan ook niets de nieuwe lekken gebruiken.

Bij het surfen op je Mac is het verstandig om voorlopig Firefox te gebruiken. Deze browser heeft als eerste maatregelen tegen Spectre ingevoerd. Op iOS heb je geen keuze, omdat Chrome en Firefox slechts een schil om Safari zijn. Als de kwaadaardige code al via de browser binnenkomt, is het waarschijnlijk via javascript via advertentienetwerken. Het kan geen kwaad om (tijdelijk) een adblocker in te schakelen op iOS. Ja, we riskeren daar een deel van onze eigen inkomsten mee, maar f*** it, jouw veiligheid is het belangrijkst.

Reageer op artikel:
Meltdown en Spectre: wat Apple-gebruikers over deze beveiligingslekken moeten weten
Sluiten