Artikel top billede

Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis

Millioner af iPad og iPhones har stået pivåbne for hacker-angreb i ugevis. Sikkerhedseksperter langer hårdt ud efter Apples sikkerheds-politik.

Brugere af iPhone og iPad har været i farezonen for hacker-angreb i tre uger, hvor deres iOS-baserede enhed har stået pivåben for hacker-angreb.

Sådan lyder det fra sikkerheds-eksperten Kristin Paget, der indtil fornylig arbejdede med sikkerhed hos netop Apple. I dag arbejder hun for bilfirmaet Tesla.

Hun langer i en blog post alvorligt ud efter sin tidligere arbejdsgivers fremgangsmåde.

Hun peger blandt andet på, at mange af de sårbarheder, der er blevet lappet med iOS 7.1.1-opdateringen, som Apple udsendte tirsdag, er nøjagtigt de samme, som selskabet patchede med Safari 6.1.3 og 7.0.3 til OS X.

Dem udsendte Apple 1. april.

Findes i Webkit

Mange af de pågældende sårbarheder findes i renderings-motoren Webkit, i Safari-browseren samt i andre OS X-applikationer, og de fleste er i øvrigt blevet opdaget af sikkerheds-holdet bag Google Chrome.

Flere af sårbarhederne har været så åbne, at hackere har kunnet udnytte dem til at installere fjendtlig kode på enheder, der anvendes til at besøge inficerede websites.

"Apple prædiker om fordelene ved at de to platforme [iOS og OS X, red] deler kerne og en masse andet styresystems-halløj, men patcher kun platformene én ad gangen, så hele bruger-basen på hele platformen bliver udsat for en kendt sårbarhed i ugevis. I hvilken verden er det acceptabelt?" skriver Kristin Paget i bloggen.

Egne brugere udsættes for fare

Den holdning deles af sikkerhedseksperten Carsten Eiram fra selskabet Risk Based Security.

"Det er helt uacceptabelt, at Apple udsætter sine egne brugere for sådan en risiko ved at lade nogle produkter forblive sårbare i lang tid, mens andre blive lappet," lyder det fra ham til Computerworlds nyhedsbureau.

Ifølge ham er det i høj grad muligt for hackere at analysere patchene til et produkt og derfra skrive fjendtlig kode, der kan angribe parallelle platforme, som endnu ikke er lappet.

Carsten Eiram siger, at det langt fra er usædvanligt, at Apple er på bagkant med udsendelsen af sikkerheds-opdateringer - især når det drejer sig om opdateringer til Webkit.

"Vi har i lang tid set, at Google adresserer Webkit-relaterede sårbarheder i Chrome lang tid før Apple gør det samme," lyder det fra Carsten Eiram.

Ifølge ham kan der sagtens gå to-tre måneder mellem Google-opdateringerne og Apple-opdateringerne af de samme sårbarheder.

Ifølge sikkerheds-eksperten har det eksempelvis været tilfældet med en patch til en Webkit-sårbarhed med navnet CVE-2013-2909.

Denne sårbarhed blev lappet i Chrome 1. oktober 2013.

Apple lappede den i Safari 6.1.1 og 7.0.1 mere end to måneder senere, nemlig 16. december 2013, mens den blev lappet i iOS 7.1 fem måneder senere 10. marts og i Apple TV 6.1 mere end et halvt år efter Google-lapningen, nemlig 22. april.

Læs også:

Stort hul i iOS: Hackere kan læse med på din iPhone

Apple løfter sløret: Sådan fungerer sikkerheds-teknologierne i iOS

Pas på: Sikkerhedsproblem i Apples produkter

Slut med sikkerheds-opdateringer til populært Apple-styresystem




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere