Beheer

Security
iPhone, iOS 13

‘iOS-patchmarathon gevolg van meer aandacht security-onderzoekers’

25 procent meer fouten in iOS gevonden in eerste zes maanden van 2019.

9 oktober 2019

25 procent meer fouten in iOS gevonden in eerste zes maanden van 2019.

iOS 13 is nog maar net verschenen, maar wordt nu al geplaagd door meldingen van fouten. Slechts vijf dagen nadat deze versie van Apple's mobiele besturingssysteem verscheen, kwam de eerste patch al uit. In de week daarna volgden er nog twee. En ook eerder dit jaar was het prijs met fouten in iOS: er werden meer fouten gemeld dan in voorgaande jaren. Wat is er aan de hand?

Het is gebruikers van Apple-apparaten vast niet ontgaan: in 2019 werden meer fouten in iOS gemeld dan in het verleden. Dat is niet alleen een kwestie van aandacht door de media. Onderzoek van securityleverancier ESET bevestigt de stijging. In de eerste zes maanden van 2019 zijn er 155 bugs gevonden in het smartphone- en tabletbesturingssysteem, tegenover 125 in heel 2018.

Jarenlang iPhones hacken

Bovendien gaat dat fors gestegen aantal in de rest van 2019 alleen maar verder groeien. Ook in de tweede helft van dit jaar heeft Apple immers flink wat gaten gedicht. Zo ontdekte een beveiligingsteam van Google in augustus een aantal websites die al jaren iPhones bleken te hacken. Deze websites waren voorzien van kwaadaardige code die uitgerust waren met exploitcode voor meerdere zero-days (voorheen onbekende beveiligingsgaten) om dan malware op de bezoekende iPhones te installeren.

De hierbij gebruikte fouten in iOS, in totaal veertien stuks, bestonden dus al geruime tijd. En ze waren niet bekend bij Apple. Volgens Dave Maasland, directeur van ESET Nederland, is dat ongekend. “We dachten niet dat het mogelijk was om zoveel lekken aan elkaar te koppelen om een iPhone te hacken”, vertelt hij aan AG Connect. Deze verzameling kwetsbaarheden is door Apple gedicht in iOS 12.4.1.

Naast deze bugs zijn er inmiddels ook diverse andere kwetsbaarheden gedicht die bij iOS 13 naar voren kwamen. Het is echter de vraag waarom al die bugs nu opeens gevonden worden. Is Apple slordiger geworden met zijn software-ontwikkeling en zijn aandacht voor beveiliging?

Toeval en timing

Volgens beveiligingsonderzoeker Jornt van der Wiel, expert in dienst van Kaspersky, is dat niet het geval. De huidige trend met iOS-bugs heeft deels met toeval te maken, stelt hij. “Wij vinden soms ook drie zero-days achter elkaar in Windows. Dat is dan ook gewoon toeval.”

Daarnaast speelt timing een rol. Op dezelfde dag dat iOS 13.1 verscheen (24 september) maakte IT-nieuwssite TechCrunch melding van een bug waardoor softwaretoetsenborden van derde partijen ‘volledige toegang’ kregen op iOS. Daarmee konden deze alternatieve toetsenborden voor iPhones of iPads vastleggen welke toetsen er aangeslagen worden, zoals ook inloggegevens. Vervolgens valt die waardevolle data naar eigen servers te sturen om voor malafide doeleinden gebruikt te worden.

Dit was een behoorlijke kritieke fout dus, maar niet eentje die Apple nog kon oplossen met iOS 13.1. Die gloednieuwe patch was immers al uitgerold naar gebruikers. Er moest een nieuwe beveiligingsupdate komen, die slechts drie dagen later werd uitgebracht. Daarbij werd ook direct een probleem opgelost met accu’s die sneller dan normaal leegliepen.

Wel iets aan de hand

Voor sommige fouten in iOS zijn dus eenvoudige verklaringen te vinden, die niet direct duiden op een groter probleem. Maar er is wel iets aan de hand, stelt Maasland van ESET. “Dat leiden wij af uit de prijzen die nu betaald worden voor Android- en iOS-exploits”, vertelt hij. De op Apple gerichte technieuwssite 9to5mac meldde in september namelijk dat de prijzen voor exploits in Android nu hoger liggen dan die voor iOS.

Wat daar de reden voor is, is koffiedik kijken, geeft Kaspersky's Van der Wiel aan. “Mogelijk is er een verschuiving in vraag en aanbod. iPhone-fouten waren altijd erg gewild, onder meer omdat de software altijd op dezelfde soort hardware draait. Daardoor hoef je niets aan te passen om een exploit te laten werken.”

Bij smartphoneplatform Android is dat anders. Iedere fabrikant maakt zijn eigen telefoon, met eigen hardware en vaak zelfs nog een eigen ‘sausje’ over Android heen. Een exploit die op de ene telefoon werkt, werkt mogelijk dus niet op de andere. “Het kan zijn dat ze daardoor Android een beetje links hebben laten liggen, maar dat daar nu meer aandacht voor komt.”

Aandacht verschuift naar iOS

Wat ook meespeelt is dat Android de afgelopen jaren veel winst heeft geboekt op het gebied van beveiliging, vertelt Maasland. “Er werd heel lang gezegd dat Android vanwege zijn open karakter - waarbij apps ook met elkaar kunnen praten - minder veilig is. Maar dat heeft de afgelopen jaren zoveel aandacht gekregen van security-onderzoekers, beveiligingsbedrijven, en Google en Samsung zelf, dat dit niet meer zo is.”

Over iOS werd juist gezegd dat het heel veilig is. “Nu komt naar voren dat er door onderzoekers eigenlijk te weinig tijd is besteed aan iOS. Nu wordt er wel aandacht aan het besturingssysteem besteed, en dan zie je dat er - zeker in Safari en iMessage - enorm veel kwetsbaarheden worden gevonden.” De in iOS ingebouwde browser en chatclient van Apple zijn populaire doelwitten.

“Ik denk dus dat Apple de afgelopen jaren te weinig heeft gedaan aan de beveiliging van het besturingssysteem, en Android daar juist wel stappen in heeft gemaakt.” Volgens Maasland moet Apple dan ook “aan de bak”. “Ik ben bang dat het nog niet voorbij is, dat er nog meer lekken gevonden worden nu de aandacht hiervoor groter is.”

Menselijke fouten

Een laatste verklaring voor de fouten van dit jaar is eenvoudig: ook Apple is niet immuun voor menselijke fouten. Dat bleek eerder dit jaar, bij de lancering van iOS 12.4. Die versie van het besturingssysteem opende een lek dat Apple eerder al gedicht had, waardoor er een update voor de update moest komen om de heropende kwetsbaarheid opnieuw te dichten.

Die opmerkelijke fout is waarschijnlijk toe te schrijven aan slordigheden, zegt Van der Wiel. “Ik denk dat een ontwikkelaar van iOS nog een oude versie op zijn computer had staan.” Die oude versie is bij de ontwikkeling waarschijnlijk per ongeluk bij de master-versie terechtgekomen.

“Die slordigheid kan voor Apple een mooi moment zijn geweest om zijn processen van het ontwikkelen na te gaan, om te zien hoe ze zulke menselijke fouten in de toekomst kunnen voorkomen”, aldus Van der Wiel.

Wat Apple nu doet, en wat het recent wel of niet heeft gedaan, blijft vooralsnog binnenshuis bij de maker van iOS. Een woordvoerder van Apple verwijst in een reactie aan AG Connect alleen naar een pagina over de beveiligingsupdates voor iOS. Daar is te vinden welke updates uitgebracht zijn en welke wijzigingen daarin zijn doorgevoerd. Op verdere vragen van AG Connect is niet gereageerd.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.