‘Stagiair was verantwoordelijk voor lekken broncode iOS 9’

8 reacties

Vorige week schreven we over een gevoelig lek bij Apple. Een deel van de broncode van iOS 9 was gelekt. Om precies te zijn ging het over de bootloader, genaamd iBoot. Dit is een belangrijk stuk code dat verantwoordelijk is voor het opstarten van iOS-apparaten en initiëren van de beveiliging. Nu hebben we een schuldige.

Volgens techsite Motherboard was een oud-stagiair verantwoordelijk voor het lekken van de broncode. Hij wilde aanvankelijk slecht een select aantal vrienden in de jailbreak-community helpen, maar de code is alsnog uitgelekt.

Meer dan alleen bootloader gelekt

De code werd begin 2016 van Apple gestolen en begon in de herfst van 2017 op jailbreak-fora te verschijnen. De stagiair zou geen kwade bedoelingen hebben gehad, maar heeft zijn kopie verwijderd nadat duidelijk werd dat de code is gelekt. Aanvankelijk zou hij slechts vijf vrienden een kopie hebben gegeven. Wie van de vijf verantwoordelijk was voor het lekken is niet duidelijk.

Motherboard zegt screenshots en iMessage-spreken te hebben gezien waaruit dit verhaal blijkt. De stagiair heeft tijdens zijn periode bij Apple meer dan alleen de broncode van iBoot gekopieerd, maar de rest is niet uitgelekt.

iBoot iOS 9 broncode
Een deel van de broncode – Klik/tap voor groter.

Apple: veiligheid niet in het geding

In een verklaring aan Amerikaanse media zegt Apple dat de veiligheid van zijn producten niet in het geding is voor het lek. Volgens de fabrikant zijn er veel beveiligingslagen op zowel hardware- als softwareniveau ingebouwd.

Apple spreekt ook van oude code van drie jaar geleden. Hoewel code vaak wordt hergebruikt, is het waarschijnlijk dat een groot aantal beveiligingsproblemen al gepatcht zijn.

Reacties

8 reacties
  • Profielfoto
    Vroegah

    Ben toch benieuwd naar die im-spreken 😬

  • Profielfoto
    Mars

    “Wie van de vijf verantwoordelijk was voor het lekken is niet duidelijk.”

    uh nee… de oud-stagiair is verantwoordelijk.

  • Profielfoto
    bartvdv

    Een tijdelijke werknemer die bij zo’n belangrijk stukje code kan ? Ik geloof er niks van. Of de beveiliging bij Apple stelt helemaal niks voor.

  • Profielfoto
    McJohn

    1 april valt wel erg vroeg dit jaar….

  • Profielfoto
    Ome Kor

    Bij ons heeft de stagiair het ook altijd gedaan.  ;-)

  • Profielfoto
    KarelWillem

    Tuurlijk; ‘Always blame the trainee’.

  • Profielfoto
    Yogarine

    bartvdv op 12 februari 2018 12:10
    Een tijdelijke werknemer die bij zo’n belangrijk stukje code kan ? Ik geloof er niks van. Of de beveiliging bij Apple stelt helemaal niks voor.

    Als je als stagiaire in het ontwikkelteam aan de slag gaat zal je toch echt toegang moeten hebben tot de broncode om aan de slag te gaan. Anders kan je weinig nuttigs doen.

    De stagiaire zal ook ongetwijfeld een NDA-clausule in zijn stageovereenkomst hebben staan en zal nu echt in de dikke shit zitten.

    Als development lead kan ik je verder garanderen dat het gebruikelijk is dat stagiaires bij de broncode komen. Een stagiaire bij een huisarts moet immers ook bij het pacientenbestand kunnen om zijn taken te kunnen verrichten.

    Het is onmogelijk fysiek te voorkomen dat iets lekt. Het enige waar je op kan hopen is dat de stagiaire beseft dat ie sowieso gepakt zal worden en het daarom uit zijn hoofd zal houden.

  • Profielfoto
    Alexander Henket

    Wat ik een beetje mis: als het zo ernstig is dat code openbaar wordt, voor de veiligheid dan is die code blijkbaar secure by obscurity.

    Ik snap dat bedrijfsgeheime code niet zomaar openbaar moet worden, maar ik wil graag het idee houden dat die niet verborgen gehouden moet worden omdat deze eigenlijk zo lek als een mandje is.