Apple borde skämmas

Efter att det i särklass värsta säkerhetshålet i iOS historia avslöjats har mer fokus lagts på hur det hanterats av de inblandande snarare än de som faktiskt drabbats av det. Tondövheten hos både Google och Apple är talande, men det är främst Apple som skämmer ut sig i den här affären.

Först kanske vi ska reda ut vad det hela egentligen handlar om. Ett allvarligt säkerhetshål som funnits i Apples operativsystem iOS från version 10 till och med 12 har gjort det möjligt för mindre trevliga aktörer att skjuta in skadlig kod i iOS-enhetens nyckelhanterare, Keychain, vilket i sin tur gjort det möjligt att avlyssna meddelanden och trafik till applikationer som exempelvis Whatsapp, Telegram, Imessage och lokaliseringsinformation - helt enkelt var den hackade enheten befann sig vid en viss tidpunkt. Attacken kunde injeceras i en iOS-enhet genom att besöka en webbsida där den skadliga koden trycktes in i enheten helt i tysthet.

Efter att Googles säkerhetsforskare i Project Zero rapporterat problemet till Apple, utan att offentliggöra uppgifterna vilket är kutym och god stil eftersom buggen ännu inte var fixad, kunde Apple åtgärda problemet i februari i år efter tio dagar. Gott så.

När Google i slutet på augusti publicerade all information om säkerhetsbuggen, vilket också är kutym eftersom säkerhetshålet då var fixat sedan ett halvår, kan man utan att överdriva säga det blev en aning infekterat mellan bolagen. Apple svarade via sin pr-sida med ett inlägg där de ömsom kritiserar Project Zero-rapporten och ömsom försöker avdramatisera hur allvarligt säkerhetshålet var. Extra tydligt var också det totala utelämnandet av vilka som låg bakom attacken och mot vilka det främst var riktad. Att Apple dessutom anser detta var en “smal” och “riktad” attack är så långt från sanningen man kan komma - den enda anledningen till att den inte drabbade fler var ju att den inte var allmänt känd, vilket också var varför det tog två år innan den upptäcktes.

I Googles rapport om buggen kan man nämligen lätt få intrycket av att det endast var iOS-användare som var måltavlan för denna typ av bugg. Det var det inte, och innan du funderar över hur det kan vara fallet eftersom buggen ju fanns i iOS så får vi ta lite mer bakgrund. Det har visat sig att det med största sannolikhet var den kinesiska säkerhetstjänsten som låg bakom attacken, som var riktad mot en folkgrupp kallad Uigurer som bland annat bor i Hunanprovinsen i södra Kina. Uigurerna är ofta muslimer och det kan vara en av anledningarna till att Kineserna förföljer denna folkgrupp och bland annat sätter dem i “utbildningsläger”.

Attacken mot Uigurerna var nämligen riktad mot Windows Phone, Android- och iOS-enheter, men det nämnde inte Google i sin rapport. Apple, å sin sida, försöker avdramatisera det hela med att uppge att det var ett “dussintal” webbsajter som låg bakom attacken och de nämner inte med ett enda ord vem eller vilka som låg bakom det hela, sannolikt för att inte riskera att stöta sig med Kinas regim där Apple sedan årtionden har förlagt i princip all montering av sina produkter.

Man kan givetvis fundera över Googles tajming. En vecka, drygt, innan Apple ska presentera nya konkurrerande produkter i form av nya iPhones valde de att släppa rapporten. Det efterföljande debaclet med den debatt som följde i media och där Apple gör allt de kan för att avdramatisera och ta udden av Googles avslöjande säger något om hur knivskarp konkurrensen är från båda håll - Apple är under enorm press och det syns.

Den här typen av säkerhetshål är värda stora pengar, och då pratar vi åtskilliga miljoner dollar, varför det inte är orimligt att anta att de som låg bakom attacken sparade på den tills de hade ett tillräckligt saftigt mål att använda det på. Kineserna, om det nu var de som låg bakom detta, kunde enkelt ha köpt en annonsplats på en större webbsajt i exempelvis USA och skyfflat ut attacken via skadlig kod imbäddad i annonsen och kunnat ta sig in i betydligt fler iOS-enheter än de faktiskt gjorde, men det blev inte så och det ska vi vara glada för.

Det ska också nämnas att bland alla de källor som nämns i Apples buggfixningsrapporter är Project Zero ofta källa till att hjälpa Apple göra sina produkter säkrare. Project Zero finansieras helt av Google och har rapporterat in hundratals allvarliga säkerhetshål till Apple som annars kunde ha orsakat enorma problem för Apples kunder.

Apple visade ingen större tacksamhet för detta när de gav sig på rapporten om detta säkerhetshål utan uppför sig som Apple fortfarande, tyvärr, gör i sina sämsta stunder när de blir trängda - att de känner en enorm press inför lanseringen av nya iPhone-modeller råder det givetvis ingen tvekan om med tanke på hur försäljningen går stadigt nedåt men någon jäkla stil måste man ändå ha. Apple borde skämmas.

Relaterade texter

  • En liten dator (2021-09-03)
    Jag hade inte tänkt skaffa en bärbar Mac igen, och jag hade definitivt inte tänkt skaffa en bärbar Mac med en Intel-processor, med det ökända Fjärilstangentbordet, med en ynka USB-C-port och med en prestanda som får en Amiga 500 att framstå som blixtrande. Ändå köpte jag en begagnad sådan. Låt...

  • Eufy Solo IndoorCam C24 och Homekit secure video (2021-08-31)
    Jag har hållit använt olika IP-säkerhetskameror i många år nu. Vissa kameror har fungerat riktigt bra, om än med yxiga användargränssnitt som krävt Internet Explorer 5 i en Windows XP-dator för att kunna hanteras, och andra har varit rent ut sagt usla men billiga. När jag flyttade in i min...

  • iPhone 12 mini (2021-08-18)
    Efter att ha använt iPhone 11 sedan den lanserades så kände jag att det var dags för något nytt, dels för att jag ledsnat på telefonen i fråga och dels för att det är en jobbtelefon som ägs av min arbetsgivare och jag vill helst inte ha min privata information...

  • Homepod mini (2021-06-15)
    För ett par veckor sedan så bloggade jag om mina två fullstora Homepod som jag importerade från USA och vad jag tyckte om dem. Denna gång tänkte jag lite snabbt gå igenom vad jag tycker om Homepod mini som till skillnad från sin större, numera pensionerade storebror, faktiskt går att...

  • Homepod (2021-06-05)
    När Apple lanserade Homepod i februari 2018 var det efter några år med framgångar för konkurrenter som Google och Amazon med sina röststyrda assistenter som exempelvis Amazon Echo. Givetvis ville Apple in på den marknaden och precis som Apple (nästan) alltid gör så inväntar de vad konkurrenterna gör först och...

  • Rack 'n Roll (2020-09-17)
    Jag lyssnade på Jason Snells utmärkta Podcast-serie 20 Macs for 2020 och i avsnitt nummer tre pratar han om Xserve. Avsnittet beskriver ganska kortfattat hur servern lanserades och eftersom jag var på plats i Cupertino när Steve Jobs lanserade Xserve G4 i maj 2002 tänkte jag att det var dags...

  • Apple böjer sig för Kina. Igen. (2020-08-19)
    DI Digital: Apple har dragit tillbaka mer än 47.000 appar från den kinesiska appbutiken under den senaste månaden, i linje med policyförändringar. Apple ska nu eliminera ett kryphål som har tillåtit spel att säljas på plattformen även innan ett godkännande erhållits från kinesiska tillsynsmyndigheter. Det hade varit hedervärt av Apple...

  • Världens hemligaste iPod (2020-08-19)
    Tidbits har en ruskigt intressant och läsvärd historia om hur Apple hjälpte amerikanska myndigheter att bygga en speciell iPod som skulle användas för avlyssning: It was a gray day in late 2005. I was sitting at my desk, writing code for the next year’s iPod. Without knocking, the director of...

  • Apple böjer sig ånyo för Kina (2020-08-11)
    SVT: Zara Larssons musik har plockats bort från Apple Musics streamingtjänst i Kina. Detta efter att Larsson talat ut om sitt kritiserade reklamsamarbete med den kinesiska mobiljätten Huawei. Detta är tragiskt och ganska underhållande på flera sätt, dels att Larsson lät sig köpas av Huawei utan att kolla upp företaget...

  • När Apple visade Power Mac G5 i Sverige (2020-08-04)
    När jag satt och skrev om mina minnen från Datormagazin så mindes jag en annan historia som är lite för bra för att inte berättas. För att förstå hur bizarrt denna upplevelse var måste man också förstå att Apple avskydde att hålla pressmöten i länder som Sverige i slutet på...


  • CC BY-NC-SA 4.0