Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis

Millioner af iPad og iPhones har stået pivåbne for hacker-angreb i ugevis. Sikkerhedseksperter langer hårdt ud efter Apples sikkerheds-politik.

Brugere af iPhone og iPad har været i farezonen for hacker-angreb i tre uger, hvor deres iOS-baserede enhed har stået pivåben for hacker-angreb.

Sådan lyder det fra sikkerheds-eksperten Kristin Paget, der indtil fornylig arbejdede med sikkerhed hos netop Apple. I dag arbejder hun for bilfirmaet Tesla.

Hun langer i en blog post alvorligt ud efter sin tidligere arbejdsgivers fremgangsmåde.

Hun peger blandt andet på, at mange af de sårbarheder, der er blevet lappet med iOS 7.1.1-opdateringen, som Apple udsendte tirsdag, er nøjagtigt de samme, som selskabet patchede med Safari 6.1.3 og 7.0.3 til OS X.

Dem udsendte Apple 1. april.

Findes i Webkit
Mange af de pågældende sårbarheder findes i renderings-motoren Webkit, i Safari-browseren samt i andre OS X-applikationer, og de fleste er i øvrigt blevet opdaget af sikkerheds-holdet bag Google Chrome.

Flere af sårbarhederne har været så åbne, at hackere har kunnet udnytte dem til at installere fjendtlig kode på enheder, der anvendes til at besøge inficerede websites.

"Apple prædiker om fordelene ved at de to platforme [iOS og OS X, red] deler kerne og en masse andet styresystems-halløj, men patcher kun platformene én ad gangen, så hele bruger-basen på hele platformen bliver udsat for en kendt sårbarhed i ugevis. I hvilken verden er det acceptabelt?" skriver Kristin Paget i bloggen.

Egne brugere udsættes for fare
Den holdning deles af sikkerhedseksperten Carsten Eiram fra selskabet Risk Based Security.

"Det er helt uacceptabelt, at Apple udsætter sine egne brugere for sådan en risiko ved at lade nogle produkter forblive sårbare i lang tid, mens andre blive lappet," lyder det fra ham til Computerworlds nyhedsbureau.

Ifølge ham er det i høj grad muligt for hackere at analysere patchene til et produkt og derfra skrive fjendtlig kode, der kan angribe parallelle platforme, som endnu ikke er lappet.

Carsten Eiram siger, at det langt fra er usædvanligt, at Apple er på bagkant med udsendelsen af sikkerheds-opdateringer - især når det drejer sig om opdateringer til Webkit.

"Vi har i lang tid set, at Google adresserer Webkit-relaterede sårbarheder i Chrome lang tid før Apple gør det samme," lyder det fra Carsten Eiram.

Ifølge ham kan der sagtens gå to-tre måneder mellem Google-opdateringerne og Apple-opdateringerne af de samme sårbarheder.

Ifølge sikkerheds-eksperten har det eksempelvis været tilfældet med en patch til en Webkit-sårbarhed med navnet CVE-2013-2909.

Denne sårbarhed blev lappet i Chrome 1. oktober 2013.

Apple lappede den i Safari 6.1.1 og 7.0.1 mere end to måneder senere, nemlig 16. december 2013, mens den blev lappet i iOS 7.1 fem måneder senere 10. marts og i Apple TV 6.1 mere end et halvt år efter Google-lapningen, nemlig 22. april.

Læs også:

Stort hul i iOS: Hackere kan læse med på din iPhone

Apple løfter sløret: Sådan fungerer sikkerheds-teknologierne i iOS

Pas på: Sikkerhedsproblem i Apples produkter

Slut med sikkerheds-opdateringer til populært Apple-styresystem


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Computerworld A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Kompetera SolutionsDay 2017

Som it-professionel i dag forventes du at have et bud på fremtiden, fod på sikkerheden og fuldt styr på driften. På Kompetera SolutionsDay 2017 får du inspiration og svar - kom og hør spændende indlæg fra blandt andre Jakob Scharf tidligere chef for PET og Ken Bonefeld Nielsen, head of corporate security & ACA Department hos Sony Mobile Communications.

05. oktober 2017 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

10. oktober 2017 | Læs mere


EU persondataforordning - praktiske løsninger på dataudfordringer

Seminaret sætter fokus på dataportabilitet, Right to be Forgotten og 72-timers notifikationsreglen. Den 25. maj 2018 skal det hele være på plads! Her skal danske virksomheder leve op til EUs nye regler om databeskyttelse. Deltag og få indsigt i metoder og praktiske eksempler.

11. oktober 2017 | Læs mere






Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.