Brugere af iPhone og iPad har været i farezonen for hacker-angreb i tre uger, hvor deres iOS-baserede enhed har stået pivåben for hacker-angreb.
Sådan lyder det fra sikkerheds-eksperten Kristin Paget, der indtil fornylig arbejdede med sikkerhed hos netop Apple. I dag arbejder hun for bilfirmaet Tesla.
Hun langer i en blog post alvorligt ud efter sin tidligere arbejdsgivers fremgangsmåde.
Hun peger blandt andet på, at mange af de sårbarheder, der er blevet lappet med iOS 7.1.1-opdateringen, som Apple udsendte tirsdag, er nøjagtigt de samme, som selskabet patchede med Safari 6.1.3 og 7.0.3 til OS X.
Dem udsendte Apple 1. april.
Findes i Webkit
Mange af de pågældende sårbarheder findes i renderings-motoren Webkit, i Safari-browseren samt i andre OS X-applikationer, og de fleste er i øvrigt blevet opdaget af sikkerheds-holdet bag Google Chrome.
Flere af sårbarhederne har været så åbne, at hackere har kunnet udnytte dem til at installere fjendtlig kode på enheder, der anvendes til at besøge inficerede websites.
“Apple prædiker om fordelene ved at de to platforme [iOS og OS X, red] deler kerne og en masse andet styresystems-halløj, men patcher kun platformene én ad gangen, så hele bruger-basen på hele platformen bliver udsat for en kendt sårbarhed i ugevis. I hvilken verden er det acceptabelt?” skriver Kristin Paget i bloggen.
Egne brugere udsættes for fare
Den holdning deles af sikkerhedseksperten Carsten Eiram fra selskabet Risk Based Security.
“Det er helt uacceptabelt, at Apple udsætter sine egne brugere for sådan en risiko ved at lade nogle produkter forblive sårbare i lang tid, mens andre blive lappet,” lyder det fra ham til Computerworlds nyhedsbureau.
Ifølge ham er det i høj grad muligt for hackere at analysere patchene til et produkt og derfra skrive fjendtlig kode, der kan angribe parallelle platforme, som endnu ikke er lappet.
Carsten Eiram siger, at det langt fra er usædvanligt, at Apple er på bagkant med udsendelsen af sikkerheds-opdateringer – især når det drejer sig om opdateringer til Webkit.
“Vi har i lang tid set, at Google adresserer Webkit-relaterede sårbarheder i Chrome lang tid før Apple gør det samme,” lyder det fra Carsten Eiram.
Ifølge ham kan der sagtens gå to-tre måneder mellem Google-opdateringerne og Apple-opdateringerne af de samme sårbarheder.
Ifølge sikkerheds-eksperten har det eksempelvis været tilfældet med en patch til en Webkit-sårbarhed med navnet CVE-2013-2909.
Denne sårbarhed blev lappet i Chrome 1. oktober 2013.
Apple lappede den i Safari 6.1.1 og 7.0.1 mere end to måneder senere, nemlig 16. december 2013, mens den blev lappet i iOS 7.1 fem måneder senere 10. marts og i Apple TV 6.1 mere end et halvt år efter Google-lapningen, nemlig 22. april.
Læs også:
Stort hul i iOS: Hackere kan læse med på din iPhone
Apple løfter sløret: Sådan fungerer sikkerheds-teknologierne i iOS
Pas på: Sikkerhedsproblem i Apples produkter
Slut med sikkerheds-opdateringer til populært Apple-styresystem
Leave a Reply