Gisteren bracht Apple iOS 14.7.1, iPadOS 14.7.1 en macOS 11.5.1 uit. In de informatie bij die updates stond “Apple is aware of a report that this issue may have been actively exploited.” Met andere woorden, het ging hier om een hack in die ‘in het wild’ misbruikt werd, en Apple had dus haast.

De vraag is nu om welke hack het precies gaat, het enige wat Apple er verder over vertelt is dat deze hack van een anonieme bron komt. Het lijkt erop dat het hier gaat om het gat dat door de NSO Group misbruikt wordt in hun Pegasus-software. ‘binaryboy’ op Twitter beweert dit onder andere met grote stelligheid, en hij is niet de enige die hierover speculeert.

https://twitter.com/b1n4r1b01/status/1419734844909637642

Het zou mooi zijn als Apple zo snel na het bekend worden van het bestaan en de reikwijdte van Pegasus het gat zo snel heeft weten te dichten. Tegelijkertijd is er natuurlijk de vraag of er niet nog meer van dit soort gaten al ontdekt zijn, en mogelijk zelfs al worden misbruikt.

Voor de programmeurs onder ons, op deze pagina van Saar Amar vind je de details van deze hack. Hij had die vier maanden geleden al gevonden, maar was bezig het allemaal netjes te documenteren toen ook hij verrast werd door het nieuws rond Pegasus.



#iOS #iPadOS #macOS

Apple kiest er voor om niet bekend te maken dat het Pegasus gat gedicht is terwijl ze staan voor privacy. Is dat een tegenstrijdigheid?

Die tegenstrijdigheid zie ik niet.

Maar afgezien daarvan: Apple zal natuurlijk never nooit zeggen "We hebben het Pegasus-gat gedicht". Want het  blijft een uiterst glibberige materie, het blijft  gissen hoeveel 'Pegasus-gaten' er zijn, en je staat in je hemd als vervolgens blijkt dat de dichting niet afdoende is geweest.

Precies!
En het gaat -vermoed ik- ook niet over één 'gat', maar een OS wat inherent lek, en verkracht is. Dat krijg je niet in één update in orde, vrees ik.

En het gaat -vermoed ik- ook niet over één 'gat'

Lijkt mij ook logisch.

maar een OS wat inherent lek, en verkracht is. Dat krijg je niet in één update in orde, vrees ik.

Welk OS heeft geen lekken? Volgens mij bestaat dat niet.

Welk OS heeft geen lekken? Volgens mij bestaat dat niet.

Eens.
Maar dat laat onverlet dat de lat voor iOS hoog ligt.

Anders kan ik net zo'n goed bv een op dat droeve OS draaiende (en door kinderhanden en slaven in elkaar gezette) OnePlus kopen.

De (vorige) 14.7 update alleen al bevatte meer dan 30 security fixes. En als ik security researchers mag geloven, heeft Apple dit jaar al 13 fixes voor zero-day vulnerabilities uitgebracht. De lat moet niet alleen hoog liggen voor iOS. De iCloud / Continuity integraties maken dat je gegevens makkelijker beschikbaar zijn vanaf verschillende devices. Die moeten dus alle even goed beveiligd zijn.

We moeten hier ook niet spreken over dat ene 'gat' gebruikt door Pegasus. Ik dacht dat ondertussen wel vast stond dat NSO doorheen de jaren gebruik maakt(e) van verschillende gaten in de software.

wel even 2.2 GB op mijn Mac Book Pro 16"

Wat nu met al die Macs, iPads en iPhones welke niet op het laatste OS draaien? Is dat dan eigen schuld dikke bult?

 

Wat nu met al die Macs, iPads en iPhones welke niet op het laatste OS draaien? Is dat dan eigen schuld dikke bult?

Ik dacht ergens gelezen te hebben dat er ook voor Catalina en Mojave een update beloofd werd. Maar voorlopig nog geen spoor, helaas.