Gisteren kon je hier op MacFreak al lezen dat er een essentieel onderdeel van iOS gelekt leek te zijn. Inmiddels is zeker dat het inderdaad de boot-loader van iOS 9 was, en Apple heeft inmiddels op dit lek gereageerd.

Apple verzekert ons dat er sinds iOS 9 veel aan deze code veranderd is, volgens Apple zelf heeft op dit moment maar liefst 93 procent van de gebruikers iOS 10 (28 procent) of iOS 11 (65 procent) op hun iDevice staan. Dat zou automatisch betekenen dat het al minder interessant wordt om hacks op basis van deze code te ontwikkelen.



Apple zelf laat ons weten dat de veiligheid van iDevices van veel meer afhangt dan alleen van de source code, volgens Apple zijn er veel meer lagen van beveiliging, zowel wat betreft de soft- als de hardware:

Old source code from three years ago appears to have been leaked, but by design the security of our products doesn't depend on the secrecy of our source code.

There are many layers of hardware and software protections built into our products, and we always encourage customers to update to the newest software releases to benefit from the latest protections.

De hardware waar Apple naar verwijst is waarschijnlijk onder andere de Secure Enclave, de plek waar de data van Touch ID en Face ID opgeslagen wordt. Over de Secure Enclave vertelt Apple meer op deze support-pagina:

De chip van het apparaat bevat een geavanceerde beveiligingsarchitectuur, genaamd Secure Enclave, die is ontworpen om de toegangscode en de gegevens van de vingerafdruk te beveiligen. Touch ID bewaart geen afbeeldingen van uw vingerafdruk en maakt alleen gebruik van een wiskundige voorstelling. Niemand kan het beeld van uw echte vingerafdruk verkrijgen via deze bewaarde gegevens.

De gegevens van uw vingerafdruk zijn gecodeerd, opgeslagen op het apparaat en beveiligd met een sleutel die alleen voor de Secure Enclave beschikbaar is. De gegevens van uw vingerafdruk worden alleen door de Secure Enclave gebruikt om te controleren of uw vingerafdruk overeenkomt met de gegevens van de geregistreerde vingerafdruk. Ze kunnen niet worden benaderd door het OS op uw apparaat of door programma's die erop worden uitgevoerd. De gegevens worden nooit bewaard op Apple servers, er wordt nooit een reservekopie van bewaard in iCloud of ergens anders, en ze kunnen niet worden gebruikt voor vergelijking met databases met andere vingerafdrukken.

Apple heeft ondertussen onder de Digital Millennium Copyright Act (DMCA) een aanvraag gedaan om deze gelekte source code zo snel mogelijk te laten verwijderen van GitHub. Daarbij gaat het waarschijnlijk vooral om het principe, want die code is inmiddels natuurlijk allang door geïnteresseerden gekopieerd naar veel andere plekken.

daar gaat mn oude iPadje op 9.....

Er is nog niet zo heel erg veel over de mogelijke consequenties van dit lek, dus is er ook nog niet zoveel te zeggen over wat voor hacks er mogelijk uit voort zullen komen.

Maar waarschijnlijk gaat het vooral om hacks waarbij je het iDevice in handen moet hebben, zoals jailbreaks.

Als dat inderdaad zo is, dan kan je jouw iPadje met iOS 9 dus gewoon veilig blijven gebruiken.

Apple en GeorgeM bagatelliseren dit voorval graag. Dat dit 'bedrijfsgeheim' gelekt is betekent wél dat Apple de eigen beveiliging niet goed op orde heeft. En dat geeft je weer te denken.

Precies, wie lekt zoiets en mogelijk heeft die persoon wel veel meer en is dit maar het begin! Dit is gewoon een VET-serieus probleem. Zeker gezien het feit dat Apple de laatste maanden sowieso al veel steken heeft laten vallen qua stabiliteit, veiligheid en communicatie rondom hun software!

Goed, op MacFreak wordt altijd nieuws geschreven vanuit een bepaalde 'Apple is koning' visie. Dat is misschien ook de reden dat er in totaal 4 reacties op de laatste 12 -14 nieuwsberichten geplaatst worden.
Het gaat bijna nergens over en het leest allemaal weg alsof iemand hoopt dat er aan het einde van het jaar een gratis MacBook tegenover staat. Het heeft allemaal een heel hoog 'praat alles maar weer recht' gehalte. Alsnog men zelf niet nadenkt maar gewoon 1-op-1 het persbericht van Apple zelf overneemt en dat is het zo.

De verwijzing naar de FBI in de broncode?


Ik vind dat soort dingen gewoon jammer, het is totaal niet compleet en dit soort promotie voor Apple is nergens voor nodig.

peerzwart om 16:41, 09-02-2018
Apple en GeorgeM bagatelliseren dit voorval graag.

Wat is dit voor vreemde reactie, en sinds wanneer zijn Apple en ik één?

Ik reageerde op peterdh, en een ouder iPadje nu al aan de wilgen hangen in verband hiermee is op zijn minst héél erg voorbarig.

Dat dit 'bedrijfsgeheim' gelekt is betekent wél dat Apple de eigen beveiliging niet goed op orde heeft. En dat geeft je weer te denken.

Dat ben ik helemaal met je eens, maar daar heb ik toch niets over gezegd?

Er is meer...

En het is niet zo'n groot probleem, want het is alleen bootcode. Zeer interessant voor makers van een jailbreak, voor malware auteurs misschien ook interessant, als leerstof.

Maar voor 't maken van op afstand bruikbare malware niet echt relevant.

Wel voor het persistent maken van malware. Maar daar is geen beginnen meer aan voor de onderwereld, omdat het erg veel werk is en deze code al ouder. Lees: economisch niet verantwoord.

Of het een groot gat is in Apple's beveiliging?

Bwah. Reken maar dat de schuldige en z'n kompanen zitten te bibberen. De schuldige heeft een NDA getekend en in de USA betekent dat iets. Hij riskeert gevangenis en een zeer hoge boete. De eersten die de code gekregen hebben van hem, riskeren imho veel minder. Maar ik denk niet dat de ze daar gerust in zijn.

Ik vermoed ook dat de bootcode tussen 9 en 10 niet zo erg veranderd is. Tussen 10 en 11 dan weer wel.

Lees net dat het een "vriendendienst" was van een Apple medewerker om zijn jailbreakende kameraden te helpen en dat het toen verder werd gedeeld en uit de hand is gelopen.
 https://motherboard.vice.com/en_us/article/xw5yd7/how-iphone-iboot-source-code-leaked-on-github

Ben benieuwd wat voor boete clausule die dombo in zijn contract heeft staan... of gaat dit strafrechtelijk worden?

Mijn ipadje aan de wilgen? Niks ervan  
(Had er meteen een smiley achter moeten zetten)

Reken maar dat Apple klacht indient én dat ze er waarschijnlijk in slagen dat uit de pers te houden.

Ik stond er persoonlijk bij toen het voltallige personeel van Apple Belgium lang geleden, op een maandagochtend, aankwam op 't werk. Er stonden bewakers te wachten. Die begeleidden elke werknemer naar z'n werkplek en keken er op toe dat alleen persoonlijke spullen werden meegenomen.

Iedereen werd ontslagen omdat er fraude was vastgesteld. Het maakte Apple geen zier uit dat de meerderheid onschuldig was.

Dat was de dag dat ik veranderde van een Apple missionaris in een Apple criticus...

Apple is een krent én volkomen rücksichtlos.

Dag Cyrano : In welke 'hoedanigheid' stond u er persoonlijk bij ?

cyrano om 00:04, 11-02-2018
Dat was de dag dat ik veranderde van een Apple missionaris in een Apple criticus...

Dan weten we nu eindelijk de reden waarom jij bijna altijd alleen de negatieve kanten belicht, verklaart een  hoop voor mij.

Apple is een krent én volkomen rücksichtlos.

Je realiseert je dat als dit zo rücksichtlos gebeurd is (en als je verhaal klopt dan ben ik het helemaal met je kwalificatie eens) dat dit wat zegt over de lokale manager, maar waarschijnlijk helemaal niets over Apple in zijn geheel?

Dit zegt veel over Apple en niks over de lokale manager...

De audit was een langlopend conflict, over macht. Apple Europe werd toen gerund vanuit Parijs. Daarna kwam Apple Nederland en daar zat Apple België onder. Dat leidde ertoe dat populaire Macs schaars waren in België en dat menig klant de grens overtrok om te kopen. En dus waren de Belgische Apple resellers allesbehalve tevreden. Ook al omdat de toen hogere BTW voet tov Nederland, Macs wat duurder maakte hier.

Hetzelfde gold voor marketing budgetten. Eerst Parijs, dan Nederland en als er nog iet overbleef, België.

Dat gevolg is nog steeds niet weg. Als je vandaag voor de eerste keer de Belgische Apple site opent, is die nog steeds in 't Frans, ondanks het feit dat de meerderheid Nederlands spreekt. Ik ben niet zo'n flamingant, maar 't is een teken. En 't was ook een doorn in 't oog van 't Belgische management toen, die minstens wekelijks daarover klachten kregen.

Over de audit zelf kan ik weinig goeds zeggen. Ook wij, als leverancier, werden onderworpen aan deze audit. De heren auditeurs waren op twee uur weg, hebben geen enkel document opgevraagd en eigenlijk alleen een babbeltje gedaan en koffie gedronken.

Jaren later heb ik een exemplaar van het audit rapport kunnen inkijken. Dat leek nergens op en de enig mogelijke conclusie was dat het rapport moest dienen om een schuldige aan te wijzen. Desalniettemin stond in de conclusie dat ze geen schuldige konden aanwijzen door de structuur van de organisatie. Lees dat maar als "de schuldige zit hogerop".

En ik belicht echt niet alleen de negatieve kant. Lees maar eens wat ik over de batterij affaire van de iphone zes schreef. Een technisch goede oplossing. Alleen hadden ze daarover moeten communiceren...

Ik belicht wel de negatieve kant omdat de gemiddelde Apple gebruiker een hersenloos reclame consument lijkt. Ook hier weer, is er iemand die zonder enige kennis terzake zich geroepen voelt de feiten om te draaien, zonder enig argument. Dat is religieus. Je gelooft, maar je weet niks.

@ Cyrano :

Hoe zou jij de situatie, waarover je
het hebt, opgelost hebben ?

Mij lijkt het geen simpel vraagstuk.
Je weet dat het merendeel van de medewerkers
koosjer is, maar dat er ergens rotting ingeslopen is.
En, je wil vermijden dat dit zich nog eens voordoet.
Je wil immers dat Apple een [ bijna onwerelds ] 'clean' merk is.

Ik ben het in ieder geval met je eens dat de policy
van Apple soms de wenkbrauwen doet fronsen.
Soms kan je hen begrijpen.
Niet zelden ook niet.

Feit is alleszins dat ik dat de laatste tijd merk dat
Apple naar zijn klanten toe minder arrogant is, en minder
op zijn strepen staat. Zeg maar, toegefelijker en bereidwilliger.

Wie weet waait er een nieuwe, wijzere wind op dat vlak.

@DirtyMay

Apple "meet" continu z'n populariteit. Met cijfers zijn ze erg goed én ze zitten op 'n berg data. Vermoedelijk hebben ze vastgesteld dat er heel veel kritiek komt uit de blogosfeer, die overgenomen wordt door de pers.

Dus is dat niet meer dan een berekend charme offensief. Dan nog is dat goed. En eigenlijk zouden we nog meer kritiek moeten uiten?

Voor mij komt de mens eerst en het bedrijf laatst. Het bedrijf heeft geen gezin te voeden. Alleen aandeelhouders die speculeren. Of die mens nu een klant is, of een werknemer, maakt verder niet uit.

Een algemeen rechtsprincipe is dat je onschuldig bent tot het tegendeel bewezen is. De manier waarop Apple toen tekeer ging, is "we kunnen niet precies vaststellen wie er verkeerd zit, dus gooien we iedereen buiten".

Dat is moreel verwerpelijk.

Als je niet in staat bent de vinger op de zere plek te leggen, heb je zelf gefaald.

En ja, ik heb zelf in die schoenen gestaan, bij een ander groot bedrijf. Daar was een deel van het management bezig de schuld in de schoenen van ondergeschikten (vooral vrouwen en jonge werknemers) te schuiven. Daar was zeer makkelijk een stokje voor te steken. Je moet het alleen maar willen én op dat moment niet denken aan de persoonlijke winst die je er zou kunnen uithalen, of de meerwinst die het bedrijf kan putten uit het verschuiven van de schuld naar onschuldigen.

In dat geval was er één hoofdschuldige. Die had ettelijke miljoenen verduisterd. Niet in geld, maar wel in "goederen". Een zwembad aan z'n huis, een auto voor z'n vrouw. Allemaal op kosten van 't bedrijf. Doordat hij dat jaren kon volhouden heeft de directie gefaald, want er was geen enkele controle. Eerst begreep ik niet hoe hij zo stom kon zijn. Dat begreep ik pas toen ik moest vaststellen dat meer dan de helft van de directie ook dingen kocht op kosten van het bedrijf. En de bron van de frustratie was dat de hoofddader al lang om extra personeel aan 't zagen was, dat hij niet kreeg. Gevolg: zes daagse werkweek, met dagen van 12 tot 20 uur. Dat houdt niemand jaren vol zonder probleem. Zeker niet als je twee kinderen hebt en een vrouw die ook een drukke carrière heeft.

Zes maanden na mijn finale rapport is de directie "vernieuwd". Alle scheeflopende directeurs zijn verwijderd, ondanks het feit dat ze belangrijke aandeelhouders waren. Sindsdien doet het bedrijf het terug beter. De winst is aan 't stijgen, terwijl ze in een verzadigde markt zitten.

Het probleem van corruptie had zich nl. ook verspreid naar leveranciers en onderaannemers...

En op mijn advies is de hoofddader niet ontslagen wegens dringende reden, wat een zwarte vlek op z'n CV zou zijn, maar heeft een afbetalingsplan opgelegd gekregen, nadat ik een reken sommetje had gemaakt dat dat de goedkoopste oplossing was. En vooral, zo bleef de vuile was binnenshuis...

Ik vrees dat je een beeld schets dat zowat
voor de gehele samenleving geldt, of toch tenminste
voor dat deel dat minder empathisch begiftigd is.

Voor de rest denk ik dat wat je persoonlijke ervaring aangaat,
je redelijk wijs, passend en integer gehandeld hebt.
Het mag wat meer van dat zijn.

Wat Apple betreft, het is nu eenmaal een mand waar
zowel mooi blozende, als rottende appels in zitten.

Het vergt een zeer bijzonder vermogen om dergelijk
amalgaam van karakters en vaardigheden
in perfecte banen te houden.

Al bij al denk ik dat Apple het nog zo slecht niet doet.
Best voor hen. En beter voor ons.

@Shmoo:

FBI staat voor "Find Boot Image". Staat er trouwens bij  

Maar verder heb je helemaal gelijk. Waar komt die code snippet vandaan?