Apple neemt een risico met de veiligheid van iOS-toestellen doordat het beveiligingsbeleid te kort schiet, dat stelt Kristin Paget. Paget is een voormalige Apple-beveiligingsonderzoeker die nu werkzaam is voor Tesla. Afgelopen dinsdag bracht Apple iOS 7.1.1 uit waarin een aantal lekken werden gedicht, dezelfde patch voor Mac OS X verscheen echter al drie weken eerder.
De patch die dinsdag is uitgebracht voor iOS dicht voornamelijk lekken in WebKit, de browserengine van Safari. Deze lekken werden voornamelijk gevonden door leden van het Google Chrome-beveiligingsteam. De Safari-browser wordt door Apple zowel in iOS als in Mac OS X gebruikt. Volgens de beveiligingslog van iOS 7.1.1 konden aanvallers code uitvoeren op het systeem van de gebruiker als een website bezocht met verkeerde intenties werd bezocht.
Pages zegt "Apple spreekt altijd over de voordelen van het hebben van dezelfde kernel en een hoop andere besturingssysteem-onderdelen voor zowel iOS als Mac OS X. Maar vervolgens brengt het patches voor deze platformen een voor een uit, waardoor alle gebruikers van het andere platform gedurende enkele weken blootgesteld worden aan deze bekende beveiligingslekken. In wat voor wereld is dat acceptabel?"
Kwaadwillenden kunnen zeer eenvoudig de code van de beveiligingsupdates analyseren om te zien wat er precies is aangepast en hoe een lek is gedicht. Vervolgens kunnen er exploits voor de systemen die nog niet gepatched zijn worden ontwikkeld, in dit geval voor het andere Apple-platform.
Volgens Carstem Eiram van Risk Based Security is het meer regel dan uitzondering dat Apple patches voor iOS en Mac OS X verspreid uitbrengt in plaats van gelijktijdig, zeker als het gaat om lekken in WebKit. Verder is het beveiligingsbeleid van Apple volgens hem sowieso erg traag en worden de meeste lekken op dit moment door Google gevonden en gemeld bij Apple. Dit komt omdat de Blink-engine die in Google Chrome zit is gebaseerd op WebKit, Google besloot vorig jaar zijn eigen weg te gaan met de browserengine en niet langer bij WebKit te blijven. Aangezien de browserengines nu nog veel op elkaar lijken zijn lekken in Blink vaak ook in WebKit te vinden, maar naarmate de tijd vordert zal dit ongetwijfeld steeds minder vaak zo zijn. Apple zal dus zelf ook meer moeten gaan doen om de WebKit-engine veilig te houden.
Eiram laat weten dat Apple zou kunnen beginnen met het sneller oppakken van lekken in de browser. Als voorbeeld noemt hij een lek met de aanduiding CVE-2013-2909, dit werd op 1 oktober 2013 gedicht in Chrome, Apple dichtte het lek in Safari 6.1.1 en 7.0.1 op 16 december 2013 (2,5 maand later). Hetzelfde lek werd in iOS 7.0.1 gedicht op 10 maart (5 maanden later) en in Apple TV 6.1 werd het lek gedicht op 22 april (6 maanden later).
Apple heeft tot op heden niet gereageerd op de aantijgingen.
1 dag geleden
