Apple: geen bewijs voor aanvallen via kwetsbaarheden in mailapplicatie
Apple heeft naar eigen zeggen geen bewijs gevonden dat verschillende kwetsbaarheden in de eigen mailapplicatie op iOS zijn gebruikt om klanten aan te vallen, zoals een Amerikaans securitybedrijf eerder deze week claimde. Volgens het bedrijf ZecOps maakten aanvallers al sinds januari 2018 misbruik van kwetsbaarheden in Apples mailapplicatie. Daarmee was het mogelijk om toegang tot e-mails te krijgen en in combinatie met een ander beveiligingslek zou zelfs de telefoon kunnen worden overgenomen. In het geval van iOS 13 zou alleen het versturen van e-mail naar een doelwit voldoende zijn.
In een analyse van de twee kwetsbaarheden stelde ZecOps dat de zerodaylekken op grote schaal zijn misbruikt. Onder andere journalisten, beroemdheden en directeuren van bedrijven zouden het doelwit zijn geweest. "We hebben het rapport van de onderzoekers onderzocht en gebaseerd op de verstrekte informatie hebben we vastgesteld dat deze problemen geen direct gevaar voor onze gebruikers vormen", aldus Apple in een reactie tegenover persbureaus Bloomberg en Reuters.
Volgens Apple, dat een update heeft klaarstaan, gaat het in totaal om drie kwetsbaarheden in de mailapplicatie. "Maar alleen zijn ze onvoldoende om de beveiligingsmaatregelen van iPhone en iPad te omzeilen en we hebben geen bewijs gevonden dat ze tegen klanten zijn gebruikt", laat het bedrijf verder weten. ZecOps stelt in een reactie dat bij verschillende organisaties voor deze kwetsbaarheden "triggers in-the-wild" heeft aangetroffen. Zodra Apple de update heeft uitgerold zal het securitybedrijf met meer informatie komen.
Typisch Apple, eerst ontkennen, totdat het niet meer valt te ontkennen. ZecOps komt niet voor niets met deze melding.
Typisch Apple, eerst ontkennen, totdat het niet meer valt te ontkennen. ZecOps komt niet voor niets met deze melding.
Dat komt vanwege de juridisering van de maatschappij, zeker in de VS, maar dat gaat hier ook gebeuren. Als je iets toegeeft geeft dat meteen een juridische consequentie. -> geld -> schade -> aandeelhouders boos -> claim. Bij US bedrijven gaat echt alles, maar dan ook alles, via de jurudische afdeling, zeker als je beursgenoteerd bent. Vandaar die 50 pagina's met licentietoestanden die je moet goedkeuren voordat je een nieuwe iOS versie kan installeren.
Op lange termijn is het de dood voor innovatie, er gaan meer studenten ' law' studeren dan techniek, en het betaalt ook beter. In China is dat wel anders. Dar komen ze in de VS nog wel achter. En wij ook.
Typisch Apple, eerst ontkennen, totdat het niet meer valt te ontkennen. ZecOps komt niet voor niets met deze melding.
Ik moest hierdoor overgaan op Outlook dus gebruikte de mail al niet meer.
Typisch Apple, eerst ontkennen, totdat het niet meer valt te ontkennen. ZecOps komt niet voor niets met deze melding.
Apple heeft nogal een historie met ontkennen en ZecOps heeft de data al gedeeld met Apple, alleen nog niet openbaar gemaakt. Vandaar dat er al updates zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
