Apple dicht beveiligingslek waardoor Face ID was te omzeilen
Apple heeft beveiligingsupdates voor iOS en macOS uitgebracht die verschillende kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval op afstand willekeurige code op het systeem had kunnen uitvoeren. Ook verschillende aanvallen door iemand die fysieke toegang heeft zijn verholpen.
Voor iOS verschenen er drie updates. Op 19 september kwam iOS 13 uit, gevolgd door iOS 13.1 op 24 september. Gisteren verscheen daarnaast iOS 12.4.2. Met iOS 13 behoren negen kwetsbaarheden tot het verleden. Eén van de beveiligingslekken die opvalt is een lek in Face ID. Met een 3D-model van iemands gezicht was het mogelijk voor een aanvaller om iPhones via Face ID te ontgrendelen en zich als de gebruiker te authenticeren. De onderzoeker die het probleem ontdekte, Wish Wu van securitybedrijf Ant-financial Light-Year Security Lab, zou hier tijdens de Black Hat Asia 2019 conferentie in maart een lezing over geven. De onderzoeker besloot de presentatie op verzoek van zijn werkgever te annuleren omdat die misleidend zou zijn.
Wu liet destijds weten dat hij akkoord ging met de beslissing om de lezing te annuleren omdat hij de hack alleen in bepaalde gevallen op de iPhone X kon laten werken. Daarnaast lukte het niet met de iPhone XS en de iPhone XS Max. De werkgever van de onderzoeker, Ant Financial, stelde in een verklaring dat het onderzoek naar Face ID onvolledig was en een eventuele presentatie over het onderwerp misleidend zou zijn. Toch was het inderdaad mogelijk om Face ID te misleiden. Apple heeft het probleem nu opgelost door het machine learning model van Face ID te verbeteren.
Verder was het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om het adresboek te benaderen. Onderzoekers van Google ontdekten een beveiligingslek in iOS waardoor het mogelijk was voor een aanvaller om op afstand willekeurige code op het systeem uit te voeren. Verder had een aanvaller via een kwaadaardige afbeelding informatie over de gebruiker kunnen achterhalen en was het voor kwaadaardige websites mogelijk om de adresbalk te spoofen.
Met iOS 13.1 verhielp Apple opnieuw een kwetsbaarheid die het mogelijk maakte om toegang te krijgen tot het adresboek van een vergrendelde iPhone. Voor eigenaren van een iOS-apparaat die nog niet naar iOS 13 zijn geüpgraded kwam Apple gisteren met iOS 12.4.2. Deze versie verhelpt het beveiligingslek dat door onderzoekers van Google was gevonden en het mogelijk maakte voor aanvallers om op afstand code op het systeem uit te voeren. Deze kwetsbaarheid is via een "supplemental update" ook in macOS opgelost.
Dat klopt.
De besturingssystemen worden steeds complexer omdat zij bestand moeten zijn tegen kwetsbaarheden. Vergelijk het maar met (personen)liftbesturingen 50 jaar terug en nu. 10 procent is onveranderd de feitelijke functionaliteit: Lift gaat van verdieping A naar verdieping B. Daarvoor is in blokschema alleen een motor nodig, een reductiekast met kabelsysteem of tandheugelbaan en een (relais)schakelend bedieningspaneel in- en buiten de liftkooi op alle verdiepingen. De bulk van de lifttechniek is 90 % electronica/software voor uitsluitend veiligheid. (security)
Oh oh oh.... weer een update. Tsjonge jonge toch alwéér een update.... 't is me toch wat.
Oh oh oh.... weer een update. Tsjonge jonge toch alwéér een update.... 't is me toch wat.
Hij had liever gezien dat alle Apple devices jaren lang misbruikt waren door niet ontdekt lek. Dat was pas smullen geweest om dat dan hier te kunnen melden.
ja?
je zal maar een android hebben, dan zit je nog met lekke shit van 2 jaar terug opgezadeld, oh koop maar een nieuw toestel is het dan, en dan mag je hopen dat het lek eruit is.
jankert...
Hoeveel zijn er daarvan niet in omloop die ongepatched blijven? 80%..
Face unlock kan op menig Android gewoon met een pasfoto.
Maar goed als er iets bij Apple gebeurt is het big news zeker?
ja?
je zal maar een android hebben, dan zit je nog met lekke shit van 2 jaar terug opgezadeld, oh koop maar een nieuw toestel is het dan, en dan mag je hopen dat het lek eruit is.
jankert...
Er zijn smartphones die 3 jaar ondersteund worden, maar in de goedkopere prijsklasse worden sommige merken maar een paar keer geüpdatet in die 3 jaar. Weer andere merken maar 1 keer als je ze pas gekocht hebt.
Wil je een beter beveiligd toestel hebben met Android, dan zul je de lagere prijsklasse links moeten laten liggen.
Goed punt.
Apple zou dus (mede)toonzettend kunnen zijn door de complexiteit van haar systemen te reduceren in plaats van NOG verder te vergroten.
Apple voegt telkens weer een chip of nieuwe functie toe.
Ze hebben zogenaamd een nieuwe feature of product, dat in werkelijkheid vaak bestaat uit nieuwe interne verbanden tussen software, chips, uitgangen en/of zogenaamde randapparatuur / wearables.
Laat Apple eerst eens de complexiteit van de staande producten echt gaan beheersen.
Dat lukt haar gewoon niet.
Zo lang ze dat niet doet is de belofte van de keten-beheersing is bij Apple het best gegarandeerd omdat ze alles in (eigen) de hand heeft een lege huls.
Risico's nemen namelijk onevenredig toe bij een onvoldoende of incompleet totaal beeld.
Risico's kun je pas goed tackelen als je ze echt begrijpt.
En de eindeloze stroom updates van Apple wijst wel uit dat de risico's giga zijn geworden en ook lastig te tackelen zijn.
De keten is zo sterk als de zwakste schakel(s).
En daar zijn er aangetoond nogal wat van bij Apple.
Het is bedrog van het extra bedrag dat klanten voor hun producten betalen.
Maar dat geldt evenzeer voor veel Samsung telefoons, tablets en aanverwante zaken.
Meerdere ervan zijn immers lang niet altijd veel goedkoper dan het concurrente apple apparaat of onderdeel.
En veel grote Nederlandse bedrijven als Shell en dergelijke draaien met Microsoft software.
En het is ook geen uitzondering dat bij Microsoft kwetsbaarheden terugkeren op dezelfde onderdeleen, die zo mogelijk langs andere weg te benutten blijken te zijn.
Bij Microsoft zit je dus zeker niet sowieso beter dan met Apple of andere breed gebruikte systeem-software.
Klein recent voorbeeldje: https://www.ncsc.nl/actueel/nieuws/2019/augustus/13/kwetsbaarheden-in-remote-desktop-service-van-microsoft-windows
Oh oh oh.... weer een update. Tsjonge jonge toch alwéér een update.... 't is me toch wat.
:-))
ja?
je zal maar een android hebben, dan zit je nog met lekke shit van 2 jaar terug opgezadeld, oh koop maar een nieuw toestel is het dan, en dan mag je hopen dat het lek eruit is.
jankert...
Er zijn smartphones die 3 jaar ondersteund worden, maar in de goedkopere prijsklasse worden sommige merken maar een paar keer geüpdatet in die 3 jaar. Weer andere merken maar 1 keer als je ze pas gekocht hebt.
Wil je een beter beveiligd toestel hebben met Android, dan zul je de lagere prijsklasse links moeten laten liggen.
Dan moet je een dure Samsung nemen van 100 euro, die geven 2 jaar updates .... ;)
Goed punt.
Apple zou dus (mede)toonzettend kunnen zijn door de complexiteit van haar systemen te reduceren in plaats van NOG verder te vergroten.
Ze hebben iOS al opgeknipt in een versie voor de telefoon, tablet en horloge.
ja?
je zal maar een android hebben, dan zit je nog met lekke shit van 2 jaar terug opgezadeld, oh koop maar een nieuw toestel is het dan, en dan mag je hopen dat het lek eruit is.
jankert...
Er zijn smartphones die 3 jaar ondersteund worden, maar in de goedkopere prijsklasse worden sommige merken maar een paar keer geüpdatet in die 3 jaar. Weer andere merken maar 1 keer als je ze pas gekocht hebt.
Wil je een beter beveiligd toestel hebben met Android, dan zul je de lagere prijsklasse links moeten laten liggen.
Dan moet je een dure Samsung nemen van 100 euro, die geven 2 jaar updates .... ;)
nouja, 2 jaar,, 2 jaar vanaf release he.
koop je het ding na een jaar, heb je nog maar recht op EEN jaar.
en dan alsnog.
genoeg lekken in android die NIET tot NOOIT gepatched worden.
het lek in android 9 bij mijn moto G6+ was meer als een jaar bekend (GPS signal los of onstabiel)
wordt dat gefixt, ben je gek, waarom zouden ze.
ik ben er onder ondertussen redelijk klaar mee met dat gezeik van android en hun shit patch en update beleid, mijn volgend toestel wordt weer een iphone.
ja?
je zal maar een android hebben, dan zit je nog met lekke shit van 2 jaar terug opgezadeld, oh koop maar een nieuw toestel is het dan, en dan mag je hopen dat het lek eruit is.
jankert...
Er zijn smartphones die 3 jaar ondersteund worden, maar in de goedkopere prijsklasse worden sommige merken maar een paar keer geüpdatet in die 3 jaar. Weer andere merken maar 1 keer als je ze pas gekocht hebt.
Wil je een beter beveiligd toestel hebben met Android, dan zul je de lagere prijsklasse links moeten laten liggen.
Dan moet je een dure Samsung nemen van 100 euro, die geven 2 jaar updates .... ;)
nouja, 2 jaar,, 2 jaar vanaf release he.
Ik bedoelde te zeggen 1000 euro i.p.v. 100 en die 5 jaar is bij Apple ook vanaf release datum.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
