Onderzoek: helft iPhones kwetsbaar voor hackers
De helft van alle iPhone-gebruikers draait een oude versie van iOS, waardoor toestellen updates voor meer dan honderd beveiligingslekken missen. Dat stelt Duo Security aan de hand van eigen onderzoek. De helft van de onderzochte toestellen draait iOS 8.4 of 8.4.1, terwijl de andere helft iOS 8.3 of ouder geïnstalleerd heeft. IOS 8.3 verscheen op 8 april van dit jaar, vijf maanden geleden.
Veel gebruikers lopen daardoor risico. Zo werden in iOS 8.4.1 twee grote kwetsbaarheden verholpen, genaamd Ins0mnia en Quicksand. Dit zijn slechts twee bekende kwetsbaarheden. Daarnaast verhielp iOS 8.4.1 nog veel meer beveiligingslekken. Ondanks de impact blijkt dat 91% van de iPhone-gebruikers een week na het uitkomen de nieuwe versie nog niet had geïnstalleerd.
Het onderzoek van Duo Security laat verder zien dat 31% van de iPhones op iOS 8.2 of ouder draait. Deze gebruikers missen updates voor meer dan 160 beveiligingslekken. Daarnaast blijkt dat 14% nog steeds met iOS 7 of ouder werkt. Deze toestellen missen updates voor meer dan 230 kwetsbaarheden. "Vergelijk het met desktopcomputers. We laten een desktop die maanden of jaren aan beveiligingsupdates mist ook niet toe op het bedrijfsnetwerk. We moeten op dezelfde manier over mobiele toestellen nadenken", stelt Mike Hanley.
Voor 20 miljoen iPhone-gebruikers is het echter niet meer mogelijk om te updaten, omdat ze een niet meer ondersteund toestel gebruiken. Het gaat dan om de iPhone, iPhone 3, iPhone 3GS en iPhone 4. Het oudste mobiel dat Apple nog ondersteunt is de iPhone 4s. Als Apple hiervan de ondersteuning stopt zou het aantal toestellen dat geen updates meer ontvangt naar 60 miljoen stijgen. Gebruikers die veilig willen zijn hebben in dit geval geen andere optie dan een nieuw toestel aan te schaffen.
Wat ik ervan weet; Apple heeft het iOS platform behoorlijk goed dichtgetimmerd inmiddels. Zelf aangepaste versies van de software installeren is behoorlijk lastig en soms zelfs onmogelijk. Dat is onder andere zo om downgrade attacks te voorkomen (op zich een goed streven zou je zeggen). Alleen echt oude modellen zijn eenvoudiger te jailbreaken en van andere software te voorzien.
Mooi. Maar toch zijn er nog 2 grote problemen.
1. Apple laat het nog altijd na om duidelijk aan te geven wat ze van plan zijn met een toestel. Gewone consumenten weten niet hoe lang het updates krijgt. En als het update gestopt is, dan moet je dat maar uit de media vernemen. Het toestel zelf laat alleen een versie nummer zien, en dat er "geen" updates beschikbaar zijn. Security experts zijn goed geinformeerd, en weten wel dat een iPad 1 met een niet ondersteunde iOS 5 versie, niet meer veilig is. Maar gewone consumenten, waar dit soort apparaten ook voor bedoeld zijn, die weten dat allemaal niet. Erg jammer dat Apple niet beter communiceert hierover.
2. Apple ondersteunt alleen de recentste versie. Mensen met een hardwarematig nog prima zijnde iPhone 4 of lager, of iPad 1 of lager staan in de kou. Op zich... zou je voor oude OS versies nog best veiligheidsupdates kunnen uitbrengen. Dat kost Apple geld. Maar Consumenten betalen er ook ruim voor. Op zich, functionele toevoegingen, dat is misschien veelgevraagd. Past ook niet in het geheugen van oude toestellen. Maar kom op, veiligheidsupdates, dat kan toch wel? Of, zie 1, duidelijk melden in het apparaat: "Deze iPhone of iPad is over de datum, het is geen veilig apparaat meer."
Maar let er wel op dat als je dat doet de garantie op je toestel niet meer geldt,als die er op zit.
Volgens mij is de andere helft ook kwetsbaar voor hackers. (Dit geldt overigens voor ieder OS)
Gebruik 'm nu nog steeds voor niet-kritische zaken als films kijken en uitzendinggemist.
Het is ook lastig om de data te controleren, het enige wat bekend is dat na 1 week nadat 8.4 uitkwam al 40% over was en dat de mensen die nu op 8.3 zitten misschien deze week al over gaan op 9.0.
Als Apple automatische de update gaat uitvoeren is het ook weer niet goed (zie berichten van Windows 10)
Wat ze vergeten er bij te zeggen dat 85% op versie 8.x zit en 12% op versie 7.x, en 6.x en ouder nog nauwelijks voorkomt.
https://www.gosquared.com/global/ios/8/
Wat dat betreft zou ik me meer zorgen maken om andoid, waar 15% op 5.x, 40% op 4.4 en de ander 45% een OS draait wat al meer dan 2 jaar oud is.
Met andere woorden, de andere helft is onkwetsbaar ? Ik denk het toch niet.... ;)
Ik zou me zorgen maken om dat wat je gebruikt, en niet om zaken waar je het mee kunt vergelijken.
Nou... Het is wel zo dat bv. Cyanogenmod voor Android regelmatig updates heeft waardoor recente Android gerelateerde beveilingsproblemen als Certifi-gate en Stagefright al zijn opgelost. En ook heeft dit soort ROM's vaak minder of zelfs geen bloatware, dus een kleiner aanvalsvlak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
