Apple borde skämmas

Efter att det i särklass värsta säkerhetshålet i iOS historia avslöjats har mer fokus lagts på hur det hanterats av de inblandande snarare än de som faktiskt drabbats av det. Tondövheten hos både Google och Apple är talande, men det är främst Apple som skämmer ut sig i den här affären.

Först kanske vi ska reda ut vad det hela egentligen handlar om. Ett allvarligt säkerhetshål som funnits i Apples operativsystem iOS från version 10 till och med 12 har gjort det möjligt för mindre trevliga aktörer att skjuta in skadlig kod i iOS-enhetens nyckelhanterare, Keychain, vilket i sin tur gjort det möjligt att avlyssna meddelanden och trafik till applikationer som exempelvis Whatsapp, Telegram, Imessage och lokaliseringsinformation - helt enkelt var den hackade enheten befann sig vid en viss tidpunkt. Attacken kunde injeceras i en iOS-enhet genom att besöka en webbsida där den skadliga koden trycktes in i enheten helt i tysthet.

Efter att Googles säkerhetsforskare i Project Zero rapporterat problemet till Apple, utan att offentliggöra uppgifterna vilket är kutym och god stil eftersom buggen ännu inte var fixad, kunde Apple åtgärda problemet i februari i år efter tio dagar. Gott så.

När Google i slutet på augusti publicerade all information om säkerhetsbuggen, vilket också är kutym eftersom säkerhetshålet då var fixat sedan ett halvår, kan man utan att överdriva säga det blev en aning infekterat mellan bolagen. Apple svarade via sin pr-sida med ett inlägg där de ömsom kritiserar Project Zero-rapporten och ömsom försöker avdramatisera hur allvarligt säkerhetshålet var. Extra tydligt var också det totala utelämnandet av vilka som låg bakom attacken och mot vilka det främst var riktad. Att Apple dessutom anser detta var en “smal” och “riktad” attack är så långt från sanningen man kan komma - den enda anledningen till att den inte drabbade fler var ju att den inte var allmänt känd, vilket också var varför det tog två år innan den upptäcktes.

I Googles rapport om buggen kan man nämligen lätt få intrycket av att det endast var iOS-användare som var måltavlan för denna typ av bugg. Det var det inte, och innan du funderar över hur det kan vara fallet eftersom buggen ju fanns i iOS så får vi ta lite mer bakgrund. Det har visat sig att det med största sannolikhet var den kinesiska säkerhetstjänsten som låg bakom attacken, som var riktad mot en folkgrupp kallad Uigurer som bland annat bor i Hunanprovinsen i södra Kina. Uigurerna är ofta muslimer och det kan vara en av anledningarna till att Kineserna förföljer denna folkgrupp och bland annat sätter dem i “utbildningsläger”.

Attacken mot Uigurerna var nämligen riktad mot Windows Phone, Android- och iOS-enheter, men det nämnde inte Google i sin rapport. Apple, å sin sida, försöker avdramatisera det hela med att uppge att det var ett “dussintal” webbsajter som låg bakom attacken och de nämner inte med ett enda ord vem eller vilka som låg bakom det hela, sannolikt för att inte riskera att stöta sig med Kinas regim där Apple sedan årtionden har förlagt i princip all montering av sina produkter.

Man kan givetvis fundera över Googles tajming. En vecka, drygt, innan Apple ska presentera nya konkurrerande produkter i form av nya iPhones valde de att släppa rapporten. Det efterföljande debaclet med den debatt som följde i media och där Apple gör allt de kan för att avdramatisera och ta udden av Googles avslöjande säger något om hur knivskarp konkurrensen är från båda håll - Apple är under enorm press och det syns.

Den här typen av säkerhetshål är värda stora pengar, och då pratar vi åtskilliga miljoner dollar, varför det inte är orimligt att anta att de som låg bakom attacken sparade på den tills de hade ett tillräckligt saftigt mål att använda det på. Kineserna, om det nu var de som låg bakom detta, kunde enkelt ha köpt en annonsplats på en större webbsajt i exempelvis USA och skyfflat ut attacken via skadlig kod imbäddad i annonsen och kunnat ta sig in i betydligt fler iOS-enheter än de faktiskt gjorde, men det blev inte så och det ska vi vara glada för.

Det ska också nämnas att bland alla de källor som nämns i Apples buggfixningsrapporter är Project Zero ofta källa till att hjälpa Apple göra sina produkter säkrare. Project Zero finansieras helt av Google och har rapporterat in hundratals allvarliga säkerhetshål till Apple som annars kunde ha orsakat enorma problem för Apples kunder.

Apple visade ingen större tacksamhet för detta när de gav sig på rapporten om detta säkerhetshål utan uppför sig som Apple fortfarande, tyvärr, gör i sina sämsta stunder när de blir trängda - att de känner en enorm press inför lanseringen av nya iPhone-modeller råder det givetvis ingen tvekan om med tanke på hur försäljningen går stadigt nedåt men någon jäkla stil måste man ändå ha. Apple borde skämmas.


[Senast uppdaterad: 2021-06-22, 08:32:19]

Relaterade texter

  • 'Not playing.' (2022-01-23)
    Efter ett halvår med mina två Homepods i en stereokonfiguration tillsammans med min AppleTV 4K så har jag en del att rapportera om, inte bara om Homepod utan också om Homekit. Varning för textbaserat vredesmod. Jag har ju tidigare rapporterat om hur bra de låter, och att de onekligen har...

  • Ett litet tangentbord (2021-12-28)
    Mitt liv med min lilla Macbook blev inte så långvarigt. Min äldsta dotter börjar studera på universitetet efter nyår så datorn blev den perfekta julklappen för henne då hennes gamla, men trevliga, Dell Latitude E-7440 sjöng på sista versen. Givetvis ska ju pappas flicka ha en Mac, och så vidare....

  • Byta hårddisk i en 27-tums iMac (2021-11-08)
    Ibland dimper det ner en dator i knät på en och man vet inte riktigt vad man ska göra med den, men samtidigt är datorn helt oemotståndlig så man bara måste använda den till… något. En sådan dator är 27-tums iMac. Det är en dator jag alltid velat ha, mest...

  • Skapa NFS-server i MacOS 10.15 (2021-10-27)
    Elpriserna blir inte direkt lägre och efter att jag stängt av samtliga HP Micoservrar jag har hemma (fyra stycken - är du intresserad av att köpa får du gärna höra av dig) så stod jag med ett problem: jag tar nattliga backuper på ett antal datorer via rsync och NFS...

  • Installera Homebrew, Ruby och Jekyll på MacOS 12.1 (2021-10-27)
    Att installera Homebrew, Ruby och Jekyll på MacOS Big Sur (aka MacOS 11) var inte helt enkelt. Dokumentationen från Homebrew-projektet är inte supertydlig och när jag uppgraderade till MacOS 12 (aka MacOS Monterey) så bestämde jag mig för att styra upp läget lite. Först avinstallerade jag Homebrew: {% highlight shell...

  • Apple M1-processorn är snabb (2021-10-23)
    Vännerna på Halon Security är inte bara ödmjuka, trevliga och oerhört smarta. De kan sitt skit också. I en ny bloggpost har de gjort en prestandajämförelse med Halons programvara och DKIM-signeringar körandes på Xeon-arkitekturen hos AWS, ARM-arkitekturen hos AWS och en vanlig Mac mini M1-maskin med Halons programvara i en...

  • Problemet med iCloud+ och egen e-postdomän (2021-10-08)
    När Apple äntligen lanserade möjligheten att använda sin egna e-postdomän i iCloud blev jag kanske inte extatisk men åtminstone glad - ännu en tjänst jag kan lägga hos Apple och som jag sedan inte behöver hantera själv. Gott så. Men sen började problemen. De två primära mailadresser jag använder har...

  • Homepod-problemet (2021-09-25)
    Homepod är, som jag tidigare nämnt, underbara. Ljudet är fantastiskt, de är sjukt snygga att titta på och integrationen med Apple TV 4K är för det mesta riktigt bra. I och med uppgraderingen till iOS 15 på Homepod har problemen med att högtalarna och Apple TV 4K “tappar bort varandra”...

  • Apple Thunderbolt Display (2021-09-22)
    Min gode vän Christian har bloggat om Apples klassiska Thunderbolt Display-skärm som han fick låna av sin bror några dagar innan den lades ut till försäljning. Det är i sanning en läsvärd text: Det är en alldeles fantastisk bekantskap även om den har några år på nacken. Med en upplösning...

  • En liten dator (2021-09-03)
    Jag hade inte tänkt skaffa en bärbar Mac igen, och jag hade definitivt inte tänkt skaffa en bärbar Mac med en Intel-processor, med det ökända Fjärilstangentbordet, med en ynka USB-C-port och med en prestanda som får en Amiga 500 att framstå som blixtrande. Ändå köpte jag en begagnad sådan. Låt...