Apple indrømmer, at iOS 15 har ikke-løste iPhone-sikkerhedsfejl

Apple indrømmer, at iOS 15 har ikke-løste iPhone-sikkerhedsfejl

29. september 2021 Slået fra Af Mathias

Det har været et par hårde uger for Apple, når det gælder iPhone-sikkerhed. Tidligere på måneden udsendte Apple en sikkerhedsopdatering for at afhjælpe en sårbarhed, der kan give en ondsindet aktør fuld adgang til alt på din telefon. Endnu mere rystende er det, at udnyttelsen var så sofistikeret, at den ikke engang krævede, at iPhone-brugere klikkede på et link.

For nylig tog en sikkerhedsforsker ved navn Denis Tokarev Apple til indtægt for at have ignoreret hans advarsler om en håndfuld iPhone-sikkerhedsfejl. Tokarev rapporterede fire separate zero-day-sikkerhedshuller til Apple. Kun en af dem blev imidlertid rettet med iOS 15-opdateringen. Tokarev blev så frustreret over Apples manglende kommunikation, at han endte med at offentliggøre sikkerhedshullerne offentligt.

Apples manglende kommunikation om iPhone-sikkerhed

Fra marts måned afslørede Tokarev fire zero-day-sårbarheder i iPhone. I marts og april videregav Tokarev disse sårbarheder til Apple via virksomhedens Bug Bounty-program.

Derfra bliver tingene en smule uklare. I løbet af de næste seks måneder var Apples kommunikation med Tokarev minimal. Faktisk korresponderede Apple sidst med Tokarev om udnyttelserne i august. Desuden var ingen af de fire fejl blevet rettet i de seks måneder, der var gået, siden Tokarev gjorde Apple opmærksom på dem. Tokarev blev naturligvis frustreret.

Artiklen forsætter under annoncen

Og derfor fortalte Tokarev i begyndelsen af september Apple, at han ville offentliggøre detaljerne om udnyttelserne, hvis han ikke fik svar. Og det gjorde han.

Apple undskylder over for sikkerhedsforsker

Da iPhone-sikkerhedshullerne blev offentliggjort, begyndte Apple at få dårlig omtale. Og som et urværk tog virksomheden endelig fat på problemet og undskyldte over for Tokarev.

Læs også  Googles opdagelse af tidskrystal er så stor, at vi ikke kan forstå den fuldt ud

Apples e-mail til Tokarev, via Motherboard, lyder således:

Apples e-mail til Tokarev lyder således

Artiklen forsætter under annoncen

Vi beklager forsinkelsen i vores svar til dig. Vi vil gerne lade dig vide, at vi stadig er ved at undersøge disse problemer, og hvordan vi kan løse dem for at beskytte kunderne. Endnu en gang tak fordi du tog dig tid til at rapportere disse problemer til os, vi sætter pris på din hjælp. Lad os vide, hvis du har spørgsmål.”

Var iPhone-eksperterne alvorlige?

Dette er et interessant spørgsmål. Det er bemærkelsesværdigt, at selv Tokarev indrømmer, at iPhone-sikkerhedssårbarhederne ikke var kritiske. Faktisk ville udnyttelserne kun komme i spil i et teoretisk scenarie, hvor det lykkedes en ondsindet app at finde vej til App Store og folks iPhones.

Uanset dette er det store problem her ikke sårbarhedernes alvor, men Apples fuldstændige mangel på kommunikation.

Apples bug bounty-program

I øvrigt offentliggjorde The Washington Post for et par uger siden et lidet flatterende indblik i Apples bug bounty-program. Nogle iPhone-sikkerhedsforskere sagde f.eks. at Apple ikke altid udbetaler det, som de skylder for afslørede sårbarheder. Desuden sagde nogle sikkerhedsforskere, at Apple er forfærdelig til at opretholde åbne kommunikationslinjer med dem. Nogle Apple-ansatte hævder, at der er en bagudestående bunke af fejl, som Apple ikke engang har haft tid til at løse endnu.

Artiklen forsætter under annoncen

“Man skal have en sund intern fejlrettelsesmekanisme, før man kan forsøge at have et sundt program til afsløring af sårbarheder,” sagde Luta Securitys administrerende direktør Katie Moussouris til Post. “Hvad forventer du, der vil ske, hvis de rapporterer en fejl, som du allerede kendte til, men som du ikke har rettet? Eller hvis de rapporterer noget, som det tager dig 500 dage at rette?”

Læs også  OnePlus sælger første batch af Nord-enheder, før telefonen vises for verden

Hvis Apple ikke forbedrer den måde, hvorpå de administrerer deres Bug Bounty-program, vil iPhone-sikkerhedsforskere måske blot rette deres opmærksomhed andre steder hen. Desuden udbetaler konkurrerende bug bounty-programmer fra Facebook og Google allerede flere penge end det, Apple tilbyder.

Tokarevs blogindlæg om hans erfaringer med Apple kan findes her. Det er værd at læse og er med til at vise, hvor dårligt Apples sikkerhedsteam håndterede korrespondancen med ham.

Artiklen forsætter under annoncen