Om te beginnen met het goede nieuws: het gaat in dit nieuwsbericht over een serieus probleem, maar dat is door Apple al verholpen. Dat gebeurde begin dit jaar in de iOS 12.1.4 update, die op 7 februari van dit jaar door Apple werd uitgebracht.

Dan over het probleem zelf: het gaat hier om een geavanceerde hack waarin maar liefst 14 zwakheden in iOS gecombineerd gebruikt worden op een aantal websites. Het resultaat is dat van de bezoekers van die websites foto’s, contact-informatie en zelfs wachtwoorden gestolen kunnen worden. Dit alles is ontdekt door de Threat Analysis Group (TAG) van Google’s Project Zero, de groep die constant speurt naar hacks en zwakheden. Ze melden dat het hierbij gaat om een klein aantal websites, die duizenden bezoekers per week hadden.



Jammer genoeg is niet bekend gemaakt om welke sites het hierbij gaat, of jij in het verleden hiervan slachtoffer bent geweest is dus niet na te gaan. De malware overleeft een herstart niet en werd pas weer actief als je weer een geïnfecteerde website bezocht. Omdat systeemupdates altijd gevolgd worden door een herstart ben je sinds 12.1.4 automatisch hiertegen compleet beschermd.

TAG was able to collect five separate, complete and unique iPhone exploit chains, covering almost every version from iOS 10 through to the latest version of iOS 12. This indicated a group making a sustained effort to hack the users of iPhones in certain communities over a period of at least two years.

Wat nu te doen?

Omdat het niet bekend is welke sites bij deze grote hack gebruikt (of mogelijk misbruikt) werden kan je ook niet weten of jij hiervan slachtoffer bent geweest. Wil je er zeker van zijn dat jouw wachtwoorden niet in verkeerde handen zijn gevallen lijkt de enige remedie om al je wachtwoorden aan te passen.

In de blog-post van de TAG hebben ze het trouwens consequent over de iPhone en iPhones, de iPod touch of iPads worden niet genoemd. De suggestie is dat die niet kwetsbaar zouden zijn voor deze hack.


met dank aan forumlid 'Max Gaav', die dit nieuws als eerste meldde op het forum



Bereik MacFreak’s 85.000 maandelijkse bezoekers met sponsoring, advertorials of pagelinks.
Reach MacFreak’s 85.000 monthly visitors through sponsoring, advertorials or pagelinks.

Dit is geen klein 'dingetje', reken op veel meer nieuws hierover komende dagen.

https://www.wired.com/story/ios-attack-watering-hole-project-zero/

'A New Paradigm' zoals Wired schrijft. Zeg dat wel, onvoorstelbaar dat op iPhones t/m de laatste iOS versie volledige root toegang was te verkrijgen door hackers simpelweg door het alleen bezoeken van een geïnfecteerde website. Dat zet alle 'veilig computergebruik' regels op z'n kop, hier doe je niks aan. De kans zal wel klein zijn dat je net een van die (niet bekend gemaakte) websites hebt bezocht met je iPhone maar het gaat om het feit dat het kon (kan..)! Bizar.

Benieuwd naar de reactie van Apple, misschien valt er nog iets af te dingen op de genoemd claims maar daar lijkt het voorlopig niet op, alles is uitvoerig gedocumenteerd door de Google onderzoekers.

"This is terrifying," says Thomas Reed, a Mac and mobile malware research specialist at the security firm Malwarebytes. "We’re used to iPhone infections being targeted attacks carried out by nation-state adversaries. The idea that someone was infecting all iPhones that visited certain sites is chilling."

Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren

Dat wordt in het originele artikel niet beweerd; men spreek daar eerder dat 'het mogelijk' was, en niet dat het bewezen is gebeurd. Maar het klinkt idd wel als een ernstig lek, dat enkel het bezoeken van een website de beveiliging van je iPhone naar de kloten helpt.

Aangezien het de 'Googles Threat Analysis Group' is, speelt hier natuurlijk een gigantisch commercial belang een zeer grote rol. Ik wil dus niet zeggen dat het niet klopt, maar het is verstandig dit soort persberichten kritisch te bekijken.
We zullen er wel snel meer van horen...

'Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.' (uit het rapport van de onderzoeksgroep)

Ik lees dat als actief gebruik maar je hebt gelijk: altijd kritisch blijven, de belangen zijn groot. Er zal vast meer duidelijk worden de komende tijd en wellicht ook wat kanttekeningen.

Dat wordt in het originele artikel niet beweerd

Het is de titel van het artikel.

Discussie op HN.

Lijkt inderdaad wel “een dingetje”...

Citaat van: Flix, 30 augustus 2019 - 13:08

Dat wordt in het originele artikel niet beweerd.

Het is de titel van het artikel.

De titel van het originele artikel luidt:
“A very deep dive into iOS Exploit chains found in the wild.”

Max, de titel van het artikel op Tweakers. Het lijkt een extrapolatie te zijn van de informatie van het bronartikel. En ja, als nieuwssite wil je ook graag je clicks zo hoog mogelijk hebben. Wil je daar aan meewerken?

@boiing: er staat dat de er continue aanvallen werden/worden uitgevoerd op de bezoekers van de hacked sites, maar er wordt verder niet uitgeweid over de gevolgen, en dus niet dat er iPhones zijn die jarenlang bespioneerd werden.

Sites die (ongemerkt) worden gehackt, waarin vervolgens software wordt geïnstalleerd die (vrijwel) zonder drempel het iOS binnendringen en die privé-gegevens doorspelen naar de hackers. Da's wel een hoogstandje!

Ook in het kader van het conflict VS/Huawei interessant... Onderdeel? Tegenzet?

Ben benieuwd of er nog updates volgen voor oudere iPhones...

Bij de Nos melden ze dat Apple dit in februari al verholpen heeft.

Dit maakt het niet minder erg natuurlijk, maar Google heeft het wel ‘netjes’ afgehandeld door Apple in te lichten.

@ Flix en Max Gaav: de titel is inmiddels aangepast en de eerste post van Max Gaav is aangepast en verplaatst naar de nieuwsberichten.

Dramatisch …

Afgelopen maanden:

- SQL Lite Exploits
- Lightning Cable Hack
- Apple Beee
- Siri-debacle
- Face ID die (opnieuw) voor de gek te houden is
- eSIM waarbij deze gemakkelijk overgenomen kan worden met desastreuse gevolgen

Het slechte nieuws is dat dit bekend is geworden bij het publiek. Het goede hieraan is dat dit lek (waarschijnlijk) niet meer benut gaat kunnen worden. Al moet gezegd, zo eenvoudig is dat niet om dit te verhelpen.

Daarnaast hebben we, eveneens het afgelopen half jaar, mogen meemaken dat bugs die ooit verholpen waren in een eerdere OS revisie plotsklaps weer met een update weer kunnen terugkeren.

Jammer, want zo blijft er elk kwartaal weer wat minder over van beweringen als "veilig platform".

Serieus lek (je zou het zelfs een virus mogen noemen) in een zeer veilig, waarschijnlijk het veiligste, ecosysteem! Mooi dat het gefixt is.

@doctor apple:
Het is jammer dat zelfs iOS gekraakt kan worden, maar ik denk dat het nog steeds het veiligste platform is!

Apple wist dit niet, tot februari zoals Tweakers schrijft dus waarom zou het dan meer dan een dingetje zijn. Ja het is een groot lek, de omvang is onbekend, maar als de fabrikant het simpelweg niet weet kun je het ook niet oplossen. Als je er wel weet van hebt en je lost het niet op, ja dan is het veel meer dan een dingetje.

En Apple is niet superieur dus komen kwetsbaarheden regelmatig voor. Ook omdat iOS zo groot is. Het loont dus om kwetsbaarheden te vinden.

Ik snap aan de ene kant wel dat de TAG niet bekend maakt om welke websites het gaat, je wilt die geen schade toebrengen.

Maar tegelijkertijd betekent dit dat we geen idee hebben of wij nu wel, of juist niet, zo'n site bezocht hebben. En dat is een nogal frusterend gevoel, want moet ik nu al mijn wachtwoorden gaan aanpassen, of niet?

Knip

Jammer, want zo blijft er elk kwartaal weer wat minder over van beweringen als "veilig platform".

Nee hoor het is en blijft een veilig platform voor de gebruiker. Het is echter nooit een 100% veilig  platvorm en dat is ook nooit door Apple beweerd. Het grootste probleem is namelijk altijd nog de toetsenist die uit moet kijken waar hij naar toe gaat. Mocht dit echter toch nog fout gaan dan zal een bedrijf (ook Apple) dit snel oplossen als blijkt dat men dit via systeem software kan oplossen.

Laten we eerlijk zijn, zolang het Pentagon gekraakt kan worden, zolang het buitenland invloed kan hebben op onze en andere verkiezingen (naar wat men beweerd te kunnen bewijzen) dan is het toch een illusie om er vanuit te gaan dat een eenvoudig computer systeempje 100% veiligheid geeft? Maar zolang als ik al op de Mac werk heb ik me nog nooit onveilig gevonden 🙂
 

Bij de Nos melden ze dat Apple dit in februari al verholpen heeft.

Dit maakt het niet minder erg natuurlijk, maar Google heeft het wel ‘netjes’ afgehandeld door Apple in te lichten.

Volgens mij is dit verholpen voor iPhones die het laatste iOs draaien maar niet voor oudere smartphones die hooguit 10.3.3 draaien.

Wat ik niet zo goed begrijp is dat de iPhone5 niet in de lijst voorkomt. Daar kan ook iOS 10 op (max 10.3.4). Is deze niet kwetsbaar voor deze hack? (64 bits vs 32 bits

Ik heb goed nieuws en ik heb slecht nieuws". "Nou", zegt die man: "Doe eerst het slechte nieuws maar." "Nou u hebt helaas aids". "Oh jee", zegt hij: "Wat kan dan het goede nieuws nog zijn?" "U hebt ook de ziekte van Alzheimer dus morgen bent u het slechte nieuws alweer vergeten."

Je kunt zeggen dat die kwetsbaarheden nu gelukkig verholpen zijn, maar als je onderstaande regels van de Project Zero-mensen leest klinkt dat niet hoopgevend.

"Let’s also keep in mind that this was a failure case for the attacker: for this one campaign that we’ve seen, there are almost certainly others that are yet to be seen."

En wat ze zeggen over Apple's code is ook niet bepaald geruststellend:

"...we'll see cases of code which seems to have never worked, code that likely skipped QA or likely had little testing or review before being shipped to users."

Opvallend is wel dat Google momenteel op TV de Chromebook als "veilig alternatief" presenteert...

Apple heeft JavaScript niet bedacht. Zoals vrijwel iedereen, heeft Apple een bestaande OSS versie gepakt, en (aangepast) opgenomen. Google heeft JS ernstig onder handen genomen, anders zat de fout wellicht ook in Chrome voor andere OS-en.

Aangezien het de 'Googles Threat Analysis Group' is, speelt hier natuurlijk een gigantisch commercial belang een zeer grote rol. Ik wil dus niet zeggen dat het niet klopt, maar het is verstandig dit soort persberichten kritisch te bekijken.
We zullen er wel snel meer van horen...

Een beetje boute veronderstelling, Flix. TAG is dan inderdaad onderdeel van Google maar of daar een enorm commercieel belang in meespeelt betwijfel ik. TAG heeft er weinig aan om wel lekken te ontdekken maar ze niet door te geven aan fabrikanten en/of daarna openbaar te maken. Daar is geen cent mee te verdienen. Eerder andersom: een beloning opstrijken voor het ontdekken en doorgeven aan de fabrikant.

Gerelateerd:

https://tweakers.net/nieuws/156688/google-gaat-betalen-voor-ontdekken-van-kwetsbaarheden-in-apps-van-derde-partijen.html

Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen

Google gaat beveiligingsonderzoekers voortaan ook beloningen uitkeren als zij lekken vinden in apps van derde partijen. Die moeten in de Play Store staan en daar meer dan honderd miljoen installaties hebben.

Google breidt daarmee zijn Google Play Security Reward Program of GPSRP verder uit. Dat programma keert bug bounties uit aan ontwikkelaars en beveiligingsonderzoekers die lekken vinden in apps in de Play Store. Tot voorheen kon dat alleen bij apps die door de originele makers zelf waren aangemeld bij het programma. Google verbreedt de scope van het programma zodat iedere app met meer dan honderd miljoen downloads automatisch in aanmerking komt voor een beloning van Google zelf. Dat geldt ook als de makers van de app zelf geen bug bounty-programma hebben. Als zij dat wél hebben maken de ontdekkers kans een beloning dubbel te ontvangen.

meer ...

Een beetje boute veronderstelling, Flix.

Het is gewoon een feitelijke constatering. Met de 'strijd' tussen iOS en Android zijn tientallen miljarden gemoeid, dus de belangen zijn enorm.
Het was niet mijn bedoeling om daarmee TAG als a priori onbetrouwbaar of 'biased' weg te zetten.
Ik had het idd wel wat krom verwoord.

Maar de vraag hoe en wanneer ze dit soort kennis in de openbaarheid te brengen, daar kan best wel een commerciële drive achter zitten.