Google verrast Apple iPhone-, iPad- en Mac-gebruikers: ‘Talrijke nieuwe kwetsbaarheden’ onthuld

NurPhoto via Getty Images

Google heeft het blijkbaar weer geflikt. Vorig jaar veroorzaakten de elitaire Project Zero-bugjagers van de techgigant veel ophef in de media door beveiligingslekken in Apple iOS te onthullen, waardoor apparaten konden worden gehackt. Het bleek dat de hacks – waarvan China de schuld kreeg – zich niet beperkten tot Apple alleen, en Google kreeg de nodige kritiek te verduren. Nu heeft hetzelfde Google-team een andere verrassingsopenbaarmaking gelanceerd “gericht op het Apple-ecosysteem,” kijkend naar basiskwetsbaarheden die aanvallers een ingang zouden kunnen bieden.

De timing voor Google’s rapport, verleidelijk getiteld “Fuzzing ImageIO” is net zo interessant als de inhoud. In de afgelopen week hebben we twee Apple beveiligingskwesties gezien die wereldwijd de krantenkoppen hebben gehaald. Ten eerste een beveiligingsrapport dat beweert dat Apple’s eigen mail app kan worden gecrasht met een kwaadwillig opgestelde e-mail, waardoor een achterdeur wordt geopend voor verdere exploits, en vervolgens het natuurlijk virale tekstbom verhaal.

MEER VAN FORBESBeware-Deze kwaadaardige nieuwe iPhone ’tekstbom’ laat iOS 13 crashen: hier is wat je doetDoor Zak Doffman

De gemene deler met deze recente verhalen is de waarschuwing dat basale systeemverwerking kan worden uitgebuit. Door een onverwachte softwarereactie op een apparaat te triggeren, kunnen de gebruikelijke vergrendelde besturingselementen zich onvoorspelbaar gaan gedragen. En dat opent de deur voor een aanval, vaak via een heel andere vector. Interessant is dat zelfs de basisfuncties die door miljarden mensen worden gebruikt, nog steeds een achterdeurtje kunnen openen.

En het is ditzelfde thema dat gisteren (28 april) werd gemeld door Google’s Project Zero team, dat “talloze nieuwe kwetsbaarheden heeft ontdekt die sindsdien zijn verholpen.” De kwetsbaarheden worden beschreven als “een oud type probleem,” gericht op mediabestanden die via berichtenplatforms worden verzonden” in het ImageIO-framework. Volgens het rapport van Google zijn meerdere kwetsbaarheden “gevonden, gemeld aan Apple of de respectieve open source image library-beheerders, en vervolgens verholpen.”

En dus, vanuit een gebruikersperspectief, als je je besturingssysteem hebt bijgewerkt zoals je altijd zou moeten doen, zul je beschermd zijn. Nou ja, soort van – het is niet zo eenvoudig. Google waarschuwt dat zelfs door de onthulde gebreken zelf niet genoeg waren om een apparaatovername of serieuze gegevensexfiltratie mogelijk te maken, “met voldoende inspanning kunnen sommige van de gevonden kwetsbaarheden worden uitgebuit in een aanvalsscenario.” En dat is in feite het soort risico dat wordt geclaimd voor Apple’s mail kwetsbaarheid. Maar Google waarschuwt ook dat “het ook waarschijnlijk is dat andere bugs blijven bestaan of in de toekomst zullen worden geïntroduceerd.”

MEER VAN FORBESBewaar-deze kwaadaardige nieuwe iPhone ’tekstbom’ laat iOS 13 crashen: hier is wat je moet doenDoor Zak Doffman

Technisch gezien is het gebruik van afbeeldingen om kwetsbaarheden bloot te leggen niet ongebruikelijk. We hebben de afgelopen maanden rapporten gezien die invloed hadden op populaire berichtenplatforms en die precies dat deden. Wanneer een afbeelding wordt ontvangen, moet het apparaat de gegevens analyseren om uit te zoeken hoe het moet worden beheerd en weergegeven – welke lezer en afhandelingsparameters. Het meeste wat we versturen zijn gewone JPEG’s of GIFS of PNG’s, maar, zegt Google, “er zijn ook talloze tamelijk exotische exemplaren.”

Google testte de beveiliging van Apple door afbeeldingen te ‘fuzzen’, waarbij de gegevens zodanig werden gerandomiseerd dat het apparaat niet zou weten hoe het ermee om moest gaan en mogelijk zou omvallen bij een poging. Google’s aanpak was niet uitputtend bedoeld, maar illustratief, en ze hebben erop gewezen dat een meer verfijnde versie van dezelfde aanpak wellicht betere resultaten zou hebben opgeleverd. Ze hebben de image fuzzing niet opgevolgd met andere exploits om voordeel te halen uit de initiële mislukking.

Er zijn een heleboel kwetsbaarheden gevonden, onthuld en gepatcht – vandaar het rapport. Google stelt voor dat verkopers “continu fuzz-testen” en beveelt ook aan dat berichtenplatforms alleen de meest voorkomende afbeeldingsformaten weigeren, “in ieder geval voor previews van berichten die geen interactie vereisen”. Hoe minder ruimte voor aanvallen hoe beter, en zoals het team opmerkt “dat zou het aanvalsoppervlak van ongeveer 25 beeldformaten terugbrengen tot slechts een handvol of minder.”

Deze problemen zouden alle besturingssystemen van Apple treffen, pre-patching. Het gebruik van dit soort aanvalsvectoren om een apparaat kwetsbaar te maken voordat het wordt aangevallen, staat vaak centraal bij geavanceerde cyberaanvallen, zelfs op het niveau van nationale staten. Dreigersgroepen prijzen exploits waarvan ze zeker weten dat ze op doelapparaten zullen werken, en daarom richten ze zich op core OS-verwerking of hyper-scale platforms zoals WhatsApp.

In de tussentijd zal Apple hopen dat dit een einde maakt aan een paar dagen van beveiligingsontsluitingen. Het bedrijf heeft deze problemen gepatcht en doet hetzelfde met de mail- en tekstkwetsbaarheden. Maar zoals altijd is het vertrouwen van de gebruiker een probleem. En voor Apple, dat zichzelf op de markt brengt vanwege de veiligheid van zijn platform, zijn dit nooit goede verhalen om in de media te zien.