Hoewel we waarschijnlijk allemaal nog veilig onze Macs gebruiken, komen er de afgelopen tijd steeds meer veiligheidslekken naar boven waar Apple niet genoeg aan lijkt te doen.

Over het eerste geval kon je lezen in dit nieuwsbericht van MacFreak over de Security Update 2015-004 voor Mavericks en Mountain Lion, daarin stond dat Apple één probleem in Mavericks en Mountain Lion niet oploste omdat het in OS X 10.10/Yosemite wel opgelost was.

Inmiddels is het dus in 10.10.3 opgelost, maar deze Security Updates voor Mavericks en Mountain Lion zullen dit niet verhelpen en Apple komt ook niet met een oplossing voor oudere systemen, dat zou te gecompliceerd zijn. Apple adviseert iedereen simpelweg om zo snel mogelijk up te graden naar 10.10/Yosemite.

Het is waar dat Yosemite gratis is, en zolang verreweg het grootste gedeelte van de gebruikers daarop zitten zullen de meeste hacks zich daarop richten. Inmiddels gebruikt die versie van OS X, onder andere door deze keuze van Apple zal dat aandeel vast blijven stijgen, maar het is geen prettig idee dat veel Macs kwetsbaar blijven.

Maar daar blijft het niet bij, inmiddels worden steeds meer grote kwetsbaarheden gevonden in OS X, terwijl Apple daar niet erg pro-actief mee om lijkt te gaan. Een voorbeeld daarvan is dit rapport waarin we kunnen lezen dat het mogelijk is om malware te maken die onder andere onze wachtwoorden uit de iCloud Sleutelhanger (Keychain) steelt.

Voor zover bekend bestaat deze malware nog niet 'in het wild', maar de onderzoekers die dit lek vonden hebben het in oktober van vorig jaar aan Apple gemeld, Apple heeft ze toen gevraagd om de publicatie een half jaar uit te stellen. Inmiddels zijn we zover, kregen ze geen feedback meer uit Cupertino en hebben ze nu hun onderzoek gepubliceerd.

In het filmpje hieronder kan je zien wat er mogelijk is met malware die gemaakt is met de resultaten van dat onderzoek.



De onderzoekers hebben ook al laten weten dat het ze gelukt is om malware apps in de App Store te krijgen, kennelijk is Apple's verificatieproces hier nog niet klaar voor.

Dezelfde onderzoekers hebben in de tussentijd ook een app ontwikkeld waarmee we zullen kunnen kijken of we zelf de klos zijn, die app is nog niet uitgebracht. Ook geven ze tips hoe ontwikkelaars hun apps veiliger zouden kunnen maken, maar zou Apple dat niet moeten doen?

En de ellende houdt daar nog niet op, begin deze maand publiceerde de bekende onderzoeker Pedro Vilaca in deze blogpost een manier om de EFI van Macs zo aan te passen dat malware-makers toegang tot en controle over je Mac zouden kunnen krijgen.

Omdat in deze methode de firmware wordt veranderd heeft zelfs herinstallatie van OS X geen zin, de hack zou in de firmware aanwezig blijven. Op ons forum loopt over dit onderwerp trouwens al dit draadje.

Deze hack heeft te maken met de slaapstand op je Mac en alle Macs van 2014 en daarvoor zouden op deze manier gehackt kunnen worden. Als je er geen last van wilt hebben dan moet je jouw Mac nooit meer laten slapen, ontzettend onhandig als je een MacBook hebt (die kan je dan dus ook niet meer dichtklappen terwijl die aanstaat).

Er wordt nog op het internet gediscussieerd of het zou helpen om je Mac voortaan altijd in diepe slaap te laten gaan in plaats van de 'gewone' slaapstand, maar het is nog niet duidelijk of dat inderdaad voldoende bescherming geeft.

Pedro Vilaca heeft dit trouwens niet eerst aan Apple gemeld, maar meteen gepubliceerd, iets wat hem niet door alle goedwillende hackers in dank wordt afgenomen. Als diepe slaap niet helpt tegen deze hack en Apple komt niet met een EFI software update om dit probleem op te lossen dan zou de enige oplossing zijn om een nieuwe Mac te kopen.

Je zou kunnen zeggen dat Apple daar blij van zou worden, maar het zou natuurlijk een stevige klap zijn voor het veilige imago van Apple, dat tot nu toe ook op echte veiligheid is gebouwd.

De twee hacks die in dit nieuwsbericht voorbij zijn gekomen zijn allebei nog niet 'in het wild' gesignaleerd, op dit moment lijken we dus nog niet meer gevaar te lopen. Maar het is te hopen dat Apple hier snel wat aan gaat doen, want op minder veilige Macs zit niemand te wachten.

Behalve de makers van malware.


Update: Over de eerste hack heeft Nick Arnott op iMore een uitstekende analyse geschreven. Als je alle details wilt weten wat deze hack inhoudt dan is het de moeite om dat artikel te lezen.

Update 2: Apple heeft inmiddels gereageerd op de XARA-exploit, die alle apps in de App Store zou kunnen raken. Dat is te lezen op deze pagina van iMore, de site die ook als eerste een groot artikel aan deze exploit besteedde.

De reactie van Apple:

Earlier this week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store. We have additional fixes in progress and are working with the researchers to investigate the claims in their paper.

De enige vraag lijkt nu of Apple pas in actie is gekomen nadat de onderzoekers publiceerden, en dus inderdaad laks zijn wat betreft de veiligheid, of dat ze al hard aan het werk waren hieraan.



met dank aan forumleden 'FanBoy', 'Brinky', 'Spooter' en 'rt' voor het melden van dit nieuws

Bedankt voor deze kijk ... Dit is verwoord wat mij dwars zit. Ik werk als Security Expert en als APPLE LIEFHEBBER (ondanks de vaak bijzonder kritische noot van mijn kant RICHTING Apple) doet het wat pijn om te zien dat we afglijden ...

En het is heel vervelend om opeens Apple te moeten verdedigen, zoals bijvoorbeeld het al dan niet kiezen voor iOS of dan maar toch Android te moeten kiezen binnen een organisatie omdat "het verschil met iOS niet zo groot is, ook security-wise niet"  

Wordt ik niet blij van...

Kost vreselijk veel moeite om mensen vervolgens de feiten voor te leggen opdat ze onderbouwde keuzes kunnen maken. Maar goed, klaarblijkelijk voert sentiment ook bij management vaak de boventoon ...

Oftewel: in een aanbesteding waar ik (niet uit over mag uitwijden) is het duidelijk ... het wordt geen Apple iOS (meer), maar Android ...

Het laatste lek was de klap op de spreekwoordelijke vuurpeil ...

Jammer, heb echt m'n best gedaan om de organisatie over de streep te trekken ... Maar met dergelijk nieuws is het alsmaar moeilijker ...

*zucht* Ik hoop zo op een stuk bezinning met MacOS 10.11 en iOS 9

Als je echte veilige mobieltjes wilt en goede EMM kies je nog steeds voor BlackBerry 10 en BES12 < kleine side note Google laat Android ook door BlackBerry beschermen in hun Enterprise oplossing

Maar ben het eens met Dokter en het stuk, Apple heeft zich te veel gericht op hoe het er allemaal uitziet en minder op kwaliteit en beveiliging. Gelukkig zijn er nog weinig tot geen echte exploits maar het moment dat het mis gaat Is volgens mij meer een kwestie van wanneer en niet of.

Ik werk ook in IT Security en zie de huidige ontwikkeling met lede ogen aan. Ondanks dat ik IOS verfoei, kon je wel altijd met droge ogen zeggen dat het best heel redelijk veilig was, dat durf ik op dit moment niet heel hard te zeggen. Zelfde geldt voor OSX helaas.

Android loopt volgens mij hopeloos achter wat betreft veiligheid bij iOS, hoewel ze bij Google hun best doen om het allemaal wat beter te maken.

Op dit moment is er dus een exploit bekend waarmee het mogelijk zou kunnen zijn om kwaadwillende apps in de App Store te zetten, in Google Play is dit allang het geval.

Zus van een vriendin was pas nog een slordige 25.000 euro kwijt 'dankzij' haar Android telefoon, ze had niet eens een bank-app op haar telefoon staan (bank vergoedde het gelukkig allemaal wel). Breek me de bek niet open over veiligheid en Android, dat loopt nog mijlenver achter op iOS.

Zal best maar dan heeft ze toch echt ergens haar bankgegevens ingevuld want die kunnen ze niet zomaar raden.

Op applicatie veiligheid kan het misschien beter bij Android, het os is niet veiliger of onveiliger dan ios. En op dit moment heeft ios een groter probleem

Er is een update bij dit nieuwsbericht gezet.

Eens FanBoy ... Dat is de reden dat ook hier BES12 en BB-toestellen draaien met de nodige extra voorzieningen ...

Wat betreft Android ... Android loopt niet meer mijlenver achter op Apple. Android LIEP mijlenver achter op iOS.

Dat is het hele betoog, Apple is meer en meer voor functionaliteiten gegaan en de GUI en minder voor stabiliteit en security.

Onder de motorkap heeft men de BSD-kern meer en meer verbouwd en functionaliteiten ingebouwd die het alsmaar moeilijker maken om een OS veilig te houden.

Maar goed, vandaag had ik er weer "heb niets te verbergen". Als je dan vervolgens MET ALLE ZOEKMACHINES (niets engs, geen hacking, phreaking of social engineering) alle data bij-elkaar harkt zijn de mensen gepikeerd ...

Twitter postings, Facebook postings, Linkedin meldingen, Google+ meldingen, Forum postings, nogal 'scherpe recensies' ...

Personen in kwestie waren boos dat ik dat opzocht ... Ik dacht: zonet liep je te verkondigen dat je niets te verbergen hebt, maar als ik een zoekterm specifiek naar jou naam uitvoer dan ben je "not amused?" ...

Sjees ... Zo zie je maar ...

Maar goed, vandaag had ik er weer "heb niets te verbergen". Als je dan vervolgens MET ALLE ZOEKMACHINES (niets engs, geen hacking, phreaking of social engineering) alle data bij-elkaar harkt zijn de mensen gepikeerd ...

Fantastisch! Ik erger me ook volkomen mal aan die houding. Ze liegen dat ze barsten met zo'n uitspraak.

interessant artikel:

http://www.imore.com/depth-look-ios-os-x-xara-vulnerabilities

@ Spooter: dat is hetzelfde artikel als wat in de update bij het nieuwsbericht staat...    

Ik kan mij nog heel goed herinneren dat ik mijn eerste Apple product kocht een Imac 27 inch. Trots als een pauw was ik en het was een groot feest.
Veilig geen gatenkaas als Windows weergaloze vormgeving en jaarlijks keek je uit naar de nieuwste producten. Helaas begint het allemaal af te brokkelen. Ik weet niet wat er is gebeurd na Snow Leopard maar Apple staat voor een enorme opgave om het vertrouwen weer terug te krijgen bij Apple die hards. Wij worden als Apple gebruikers de laatste tijd te vaak geconfronteerd met bugs en gaten in het besturingssysteem.

Apple reageert:
http://forums.appleinsider.com/t/186842/apple-addresses-xara-vulnerabilities-says-fixes-on-the-way

Er is een tweede update bij dit nieuwsbericht gezet.

Is het een teken aan de wand dat Apple pas reageert nádat het lek is gepubliceerd?

De enige vraag lijkt nu of Apple pas in actie is gekomen nadat de onderzoekers publiceerden, en dus inderdaad laks zijn wat betreft de veiligheid, of dat ze al hard aan het werk waren hieraan.

In iMore's artikel van Rene Ritchie staat een stukje onder de kop

Why was XARA disclosed to the public, and why hasn't Apple fixed it already?

dat hier het een en ander over zegt.

Ik heb geen zin om alles tot in de details te lezen.
Te vermoeiend soms. Voor mij althans.

Maar ik vermoed dat Apple vaak al aan
oplossingen werkt zonder de rest van de
wereld daarvan op de hoogte te houden.

Want, moet dat immers altijd ?
Rendeert paniek zaaien voor alles en nog wat ?

Eerlijk gezegd heb ik meer vertrouwen in Apple dan Dr. Apple.
Misschien ten onrechte, maar 's nacht slaap ik graag.
En, Apple is ondertussen toch volwassen en
voldoende capabel geworden om te doen
wat van hen verondersteld wordt.

Dacht ik toch ...

Beste Doctor,

Ik lees jouw stukjes vaak met een glimlach, en soms met herkenning. Altijd met passie geschreven, met (fout) hoofdlettergebruik om dingen te benadrukken, en met gezonde overdrijving. Echter, hier vlieg je echt uit de bocht:

Doctor Apple om 17:32, 18-06-2015
Bedankt voor deze kijk ... Dit is verwoord wat mij dwars zit. Ik werk als Security Expert en als APPLE LIEFHEBBER (ondanks de vaak bijzonder kritische noot van mijn kant RICHTING Apple) doet het wat pijn om te zien dat we afglijden …
…(knip)
Oftewel: in een aanbesteding waar ik (niet uit over mag uitwijden) is het duidelijk ... het wordt geen Apple iOS (meer), maar Android ...

Dit soort selectietrajecten duurt minstens maanden, en ook al laat Apple tegenwoordig steken vallen, het is echt nog niet tot onder het niveau van Android gezakt. Dus door de emotie van de recent aan het licht gekomen beveiligingsproblemen voor het inferieure en door Google gemonitorde platform kiezen… dat klinkt me niet logisch in de oren! Niet qua keuze en niet qua timing.

Maar hier ben ik het dan wel weer helemaal mee eens:

Doctor Apple om 17:32, 18-06-2015k hoop zo op een stuk bezinning met MacOS 10.11 en iOS 9