Hoe ****ing moeilijk is het om een message app te bouwen die niet op deze manier gehacked kan worden? Zeroclick nog wel. Het is echt ongelooflijk. Ik zou het bijna opzettelijk noemen.

Ik zou zelfs het "bijna" weglaten.

Voordeel van Android, net als Linux trouwens: het is veel minder een monocultuur dan iOS. En je kunt de standaard sms app aanpassen om dit soort grappen uit te sluiten.

Nou knul, doe 's link naar JOUW lijst van grote projecten zonder bugs .

Dat _is_ - zo blijkt uit de lange lijst van CVEs - inderdaad fucking moeilijk.
Ook in open source projecten .

Lockdown mode

Wat heel sneu is, is dat menig iPhone gebruiker zo duf en saai leect, dat die helemaal niet de moeite zijn om te bespioneren.

Maar ik denk dat als er toch bespioneerd wordt, dat we dan met zijn allen wel wat respect voor saaie mensen mogen tonen. En dat ze in elk geval toegang krijgen tot die gratis spyware.

Want waar zijn we anders mee bezig.

Bugs zijn onvermijdelijk, maar dat een zeroclick in je messaging app terecht komt dan maak je toch echt een ontzettende blunder! Wel eens nagedacht hoeveel mensen dit kan raken of al geraakt heeft met hoeveel gebruikers Apple wel niet heeft? Het is overigens niet de eerste keer dat er een zeroclick in Apple software zit (zie macos mail). Je mag wel wat verwachten van Apple!

Had hier wel een discussie over kunnen voeren want ik heb aan genoeg grote projecten gewerkt en nog nooit zo'n blunder gemaakt, maar dat is het punt helemaal niet! Had je een normale vraag gesteld oid dan stond ik daar wel voor open maar je wil liever gewoon je vinger wijzen. Alsof je op je pik bent getrapt, met je 'knul'.

Een beschuldiging zonder bewijs houdt nooit stand bij een rechtbank.

Probeert Kaspersky zieltjes terug te winnen na hun grote verbanning bij Westerse overheden?

Ik ben zelfs zo “duf en saai” dat ik iMessage heb uitgeschakeld op mijn iPhone.
En die rommel van Meta gebruik ik ook niet.
Is saai maar beter voor mijn gemoedsrust.

De bug in iMessage is niet genoeg voor de hack. Zoals in het artikel staat worden er meerdere exploits gebruikt. Dit is best complex. Dus geschikt voor gerichte aanvallen, maar niet voor massaal overnemen van iPhones. Waarschijnlijkheid dat doorsnee gebruiker hiermee aangevallen wordt is dus klein.

Als je hun business security neemt, zijn ze best wel goed en er werken echt goede experts.

Whataboutism... Doe mij ook maar eens een budget van 100 miljard euro.... dan ga ik bulletproof software maken... ECHT...
(en telefoons en smartwatches die NIET elke 6 uur aan de muur moeten bij laden... )...

En het kan, want ik heb een iwatch-cloon die 6 dagen meegaat en precies hetzelfde functioneel kan als mijn iwatch die 6 uur mee gaat. Oja, en die kostte in Taiwan 25 euro ipv de whopping 1200 euro die appel ervoor durft te vragen... net zo bagger als mijn iphone trouwens... dus ja, ik stap over op android. net zo bagger waarschijnlijk, maar ik voel me niet zo'n kneus op de basisschool die perse nike schoenen en lacoste shirt moet hebben om 'cool' te zijn. (en ik ben voor 25% van de prijs klaar.

"Kaspersky Lab is een Russisch, niet-beursgenoteerd softwarebedrijf gespecialiseerd in computerbeveiliging en antivirussoftware." In een dictatuur is elk strategisch belangrijk bedrijf ondergeschikt aan de belangen van de dictators.

Je praat alsof de _impact_ van de bug iets te maken heeft met hoe dom/blunder/groot/klein de bug is.

Terwijl je blijkbaar wel lijkt te realiseren dat "bugs onvermijdelijk" zijn.

Je mag best 'wat' verwachten van Apple - ze doen het gemiddeld ook goed , maar zijn duidelijk niet perfect.


Ik heb inderdaad weinig respect voor betweterige scholieren (of hobbyisten) die zelf nog nooit wat gemaakt hebben maar wel weten hoe "dom" iets is, dan wel "bijna zeker weten dat het een bewust lek was want blijkbaar kun je anders zo'n fout niet maken" .
En JIJ praat dan over "wilt met vinger wijzen" ? ! Gotspe.


Het feit is - fouten worden gemaakt - en als je naar CVEs kijkt, en ook nog de bijbehorende bugs bekijkt (kan bij de open source projecten) - het zijn lang niet altijd "wel DUH wat een idioot was dat" fouten . Soms is er een lang (en nodig) verhaal om uit te leggen precies onder welke omstandigheden welk bij-effect leidt tot een crash (of dus security issue, als het een CVE geworden is) .
Kijk genoeg (en doe genoeg), en je wordt wat bescheidener omtrent "zou mij niet overkomen" .
Nu zit er nog steeds een paar ordegrootten tussen 'de besten' - zeker met grondige tooling/testing en 'codeslingers' , maar foiten worden gemaakt.


Ik durf met vrij grote zekerheid te stellen dat er op jouw projecten nooit manjaren van pentesten/reverse engineering gezet zijn , wanneer je stelt dat je nog nooit zo'n "blunder" gemaakt hebt .
Sorry, het is waar als je uberhaupt nog nooit wat gemaakt , of als er nog nooit echt grondig naar gezocht is dat je kunt zeggen 'zo'n blunder nog nooit gemaakt hebt'.
Mijn scriptjes hebben nog nooit een kerncentrale laten ontploffen. (duh, want daar worden ze ook niet gebruikt) .
De prijs van iOS zero days is een paar honderdduizend dollar. Vergelijkbaar, winnaars bij Pown2Own hebben vaak 6-10 maanden met enkele (erg goede) mensen gewerkt aan de exploit .
Dan trek je een heel grote broek aan wanneer je zegt dat je projecten _zo_ goed zijn dat top pentesters er met een enkele manjaren werk niks in gaan vinden .
Cq, dat wanneer iets gevonden wordt dat een "blunder" is die "haast bewust" gemaakt moet zijn.

Dus je hebt de mogelijkheid om willekeurige code met rootrechten uit te voeren, maar de malware overleeft een reboot niet. Je zou dan toch verwachten dat ze meteen voor fatsoenlijke persistence zorgen met zoveel rechten...

Tegenwoordig zijn dit soort zero click met opzet in de code gezet als backdoor. Indien het door een andere partij wordt gevonden, wordt de desbetreffende feature / "bug " gepatcht