Apple heeft onlangs verschillende beveiligingslekken in iOS 12 verholpen, maar die staan niet vermeld in het bijbehorende beveiligingsbulletin, tot onvrede van Google-onderzoeker Ian Beer die de kwetsbaarheden in Apples besturingssysteem ontdekte. Beer vond de lekken via "variant-analyse".
Hierbij wordt er naar een bekend beveiligingslek gekeken om vervolgens naar code te zoeken die op een soortgelijke manier kwetsbaar is. Beer paste deze tactiek toe om de nieuwe iOS-kwetsbaarheden te vinden. De onderzoeker maakte vervolgens een exploit die oude en nieuwe kwetsbaarheden combineert en waarmee een kwaadaardige app het kernelgeheugen van iOS 7.1.2 kan lezen en schrijven.
Beer waarschuwde Apple voor de gevonden kwetsbaarheden, die in iOS 12 werden verholpen. Toch staan de lekken niet in het beveiligingsbulletin van iOS 12 vermeld. Volgens de onderzoeker zorgt Apple er op deze manier voor dat mensen minder snel geneigd zijn om beveiligingsupdates te installeren, aangezien het lijkt dat er minder kwetsbaarheden zijn verholpen dan in werkelijkheid het geval is. Onlangs uitte Google-onderzoeker Ivan Fratric dezelfde kritiek op Apple.
Deze posting is gelocked. Reageren is niet meer mogelijk.