Artikel top billede

Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis

Millioner af iPad og iPhones har stået pivåbne for hacker-angreb i ugevis. Sikkerhedseksperter langer hårdt ud efter Apples sikkerheds-politik.

Brugere af iPhone og iPad har været i farezonen for hacker-angreb i tre uger, hvor deres iOS-baserede enhed har stået pivåben for hacker-angreb.

Sådan lyder det fra sikkerheds-eksperten Kristin Paget, der indtil fornylig arbejdede med sikkerhed hos netop Apple. I dag arbejder hun for bilfirmaet Tesla.

Hun langer i en blog post alvorligt ud efter sin tidligere arbejdsgivers fremgangsmåde.

Hun peger blandt andet på, at mange af de sårbarheder, der er blevet lappet med iOS 7.1.1-opdateringen, som Apple udsendte tirsdag, er nøjagtigt de samme, som selskabet patchede med Safari 6.1.3 og 7.0.3 til OS X.

Dem udsendte Apple 1. april.

Findes i Webkit

Mange af de pågældende sårbarheder findes i renderings-motoren Webkit, i Safari-browseren samt i andre OS X-applikationer, og de fleste er i øvrigt blevet opdaget af sikkerheds-holdet bag Google Chrome.

Flere af sårbarhederne har været så åbne, at hackere har kunnet udnytte dem til at installere fjendtlig kode på enheder, der anvendes til at besøge inficerede websites.

"Apple prædiker om fordelene ved at de to platforme [iOS og OS X, red] deler kerne og en masse andet styresystems-halløj, men patcher kun platformene én ad gangen, så hele bruger-basen på hele platformen bliver udsat for en kendt sårbarhed i ugevis. I hvilken verden er det acceptabelt?" skriver Kristin Paget i bloggen.

Egne brugere udsættes for fare

Den holdning deles af sikkerhedseksperten Carsten Eiram fra selskabet Risk Based Security.

"Det er helt uacceptabelt, at Apple udsætter sine egne brugere for sådan en risiko ved at lade nogle produkter forblive sårbare i lang tid, mens andre blive lappet," lyder det fra ham til Computerworlds nyhedsbureau.

Ifølge ham er det i høj grad muligt for hackere at analysere patchene til et produkt og derfra skrive fjendtlig kode, der kan angribe parallelle platforme, som endnu ikke er lappet.

Carsten Eiram siger, at det langt fra er usædvanligt, at Apple er på bagkant med udsendelsen af sikkerheds-opdateringer - især når det drejer sig om opdateringer til Webkit.

"Vi har i lang tid set, at Google adresserer Webkit-relaterede sårbarheder i Chrome lang tid før Apple gør det samme," lyder det fra Carsten Eiram.

Ifølge ham kan der sagtens gå to-tre måneder mellem Google-opdateringerne og Apple-opdateringerne af de samme sårbarheder.

Ifølge sikkerheds-eksperten har det eksempelvis været tilfældet med en patch til en Webkit-sårbarhed med navnet CVE-2013-2909.

Denne sårbarhed blev lappet i Chrome 1. oktober 2013.

Apple lappede den i Safari 6.1.1 og 7.0.1 mere end to måneder senere, nemlig 16. december 2013, mens den blev lappet i iOS 7.1 fem måneder senere 10. marts og i Apple TV 6.1 mere end et halvt år efter Google-lapningen, nemlig 22. april.

Læs også:

Stort hul i iOS: Hackere kan læse med på din iPhone

Apple løfter sløret: Sådan fungerer sikkerheds-teknologierne i iOS

Pas på: Sikkerhedsproblem i Apples produkter

Slut med sikkerheds-opdateringer til populært Apple-styresystem




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2024

Vi kigger ind i scenariet for fremtiden it-afdeling og hvordan virksomheden bedst muligt udnytter både nye og etablerede teknologier til at understøtte vækst og dermed sikre overlevelse i en konkurrencepræget verden.

23. maj 2024 | Læs mere


Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

28. maj 2024 | Læs mere


Industry 4.0 – sådan udnytter du AI og digitalisering til optimering af din produktion.

På denne konference fokuserer på en digitaliseret optimering af processer i produktions- og procesorienterede virksomheder. Herved bliver du f.eks. i stand til at kombinere maskiner med sales forecasting og derved planlægge anvendelsen af produktionsapparat og medarbejderallokering effektivt – samt begrænse materialespild og nedetid ved at optimere produktionsplanlægning og omstilling af produktionsmateriel.

29. maj 2024 | Læs mere