Project Zero, een Google-team dat speciaal is toegewijd aan het vinden van beveiligingsfouten in bestaande besturingssystemen, heeft tegenwoordig een van de grootste aanvallen onthuld die iOS sinds de oprichting heeft ondergaan. Maximaal vijf beveiligingsinbreuken in een periode van twee jaar Ze hebben geprofiteerd om spyware op onze iPhone en iPad te installeren.
Wat zijn die beveiligingsfouten? Aan welke gegevens ben je blootgesteld? Welke apparaten zijn vatbaar geweest? Hoe werkten ze? We gaan je alle details uitleggen, zonder broederschappen of catastrofes., en in een taal die iedereen zonder problemen zal begrijpen.
Vijf beveiligingsfouten
Wat is een inbreuk op de beveiliging? Besturingssystemen zijn niet perfect, het onkwetsbare systeem bestaat niet en zal nooit bestaan. Er zijn alleen systemen die veiliger zijn dan andere omdat ze het hackers moeilijker maken, maar als ze geïnteresseerd zijn, zullen ze altijd beveiligingsfouten vinden waarvan ze kunnen profiteren. Deze beveiligingsfouten zijn "gaten" waardoor hackers ons systeem kunnen binnendringen en dingen doen die niet zijn toegestaan, zoals het installeren van spyware.
Alle software die we vinden, kan niet op onze iPhone of iPad worden geïnstalleerd, alleen degene die in de App Store staat en die Apple beoordeelt. Zelfs de software die in de App Store staat en die wij kunnen installeren, kent beperkingen en er zijn functies waartoe het geen toegang heeft, daarop berust de beveiliging die Apple zijn gebruikers biedt. Maar zoals we al zeiden, geen enkele software is perfect en soms ontstaan er "gaten" waardoor kwaadaardige applicaties kunnen glippen Deze vijf beveiligingsfouten waar we het vandaag over hebben, zorgden ervoor dat sommige webpagina's die door hackers waren gemaakt, spyware op onze iOS-apparaten installeerden zonder dat we het wisten, iets dat uiteraard alle Apple-beveiligingsmaatregelen omzeilt.
Welke webpagina's zijn dat? Ze zijn niet gepubliceerd, maar volgens de informatie die op het netwerk is verschenen, zijn dit pagina's met welomschreven politieke ideologieën die uitdrukkelijk zijn gemaakt voor toegang tot specifieke bevolkingsgroepen, dus het vermoeden bestaat dat er achter deze aanvallen een staat (of meerdere) zou zitten die bepaalde groepen van hun bevolking wilden bespioneren Welke gegevens hebben ze gekregen? Telefoongesprekken, berichten, WhatsApp, Telegram, webpagina's, locatie ... zeer waardevolle informatie en waarvoor ze grote sommen geld zouden hebben betaald.
Drie van de bugs waren al verholpen
Project Zero informeerde Apple in februari 2019 over deze vijf beveiligingsfouten, en op dat moment waren drie van die vijf fouten al verholpen met de bijbehorende updates die Apple destijds uitbracht. De twee bugs die niet waren opgelost, omdat Apple het niet wist totdat Project Zero ze liet zien, duurden een week om op te lossen met de update naar iOS 12.1.4. Dat wil zeggen, in tegenstelling tot wat in de meeste media wordt gepubliceerd, is het nog geen twee jaar geleden dat onze iPhone aan deze aanvallen was blootgesteld, omdat Apple de bugs aan het patchen was toen het ze ontdekte.
De langste tijd dat een bug actief was, was minder dan 10 maanden ("Chain 3"), waarbij de rest van de bugs geldig is voor periodes die korter zijn dan die vanwege de updates die Apple lanceerde, zoals je kunt zien in de grafiek boven deze paragrafen en die de datums en versies toont die elk van de problemen oplossen beveiligingsfouten.
Oplossing: update altijd naar de laatste versie
We zullen het niet moe worden het te herhalen ondanks het feit dat velen het weigeren te accepteren: een besturingssysteem hebben dat het ondersteunt door middel van regelmatige en langdurige updates is de beste manier om de maximaal mogelijke veiligheid te garanderen. Het is belangrijk dat de responstijd minimaal is, dat de update die het probleem oplost zo snel mogelijk beschikbaar is en dat deze ook zoveel mogelijk apparaten bereikt. Het onkwetsbare besturingssysteem bestaat niet, maar je moet proberen zo dichtbij mogelijk te blijven dat je dat onbereikbare doel kunt bereiken.