Apple ikke enig i Google Project Zero-rapport om iOS-sårbarheder

I sidste uge fortalte Googles Project Zero om en række alvorlige sårbarheder i iOS, der gør det muligt for ondsindede hjemmesider at få adgang til et offers telefon. Totalt nævntes 14 sårbarheder. Siden er de alle blevet ordnet og lukket, men flere af dem viste sig at være blevet benyttet i årevis.

 

Apple nedtoner sårbaheder fundet af Google i iPhone

Hele historien har fået Apple til at svare på Googles Project Zero i en blogpost, hvor de også prøver at berolige kunderne.

Ifølge Apple havde angrebet et ”smalt fokus” og ikke en så bred udnyttelse af iPhones, som der blev beskrevet i rapporten. Apple fortæller også, at det er færre end et dusin hjemmesider rettet til Uighur muslimer, der blev ramt, samt at Google har givet et usandt billede af, at det er mange, der er blevet udsat for angreb.

Dette har ifølge Apple skabt frygt hos iPhone-brugere. Google skal også have taget fejl om længden på tidsrummet for problemet. Det drejer sig ifølge Apple om to måneder og ikke to år, samt at Apple havde taget sig af sårbarhederne ti dage efter at være blevet gjort opmærksom på dem.

Faktisk påstår Apple, at de allerede var i gang med at lukke sårbarhederne ned, da Google skrev om det hele.

Her er hele Apples svar:

Last week, Google published a blog about vulnerabilities that Apple fixed for iOS users in February. We’ve heard from customers who were concerned by some of the claims, and we want to make sure all of our customers have the facts.

First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described. The attack affected fewer than a dozen websites that focus on content related to the Uighur community. Regardless of the scale of the attack, we take the safety and security of all users extremely seriously.

Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case.

Second, all evidence indicates that these website attacks were only operational for a brief period, roughly two months, not “two years” as Google implies. We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs.

Security is a never-ending journey and our customers can be confident we are working for them. iOS security is unmatched because we take end-to-end responsibility for the security of our hardware and software. Our product security teams around the world are constantly iterating to introduce new protections and patch vulnerabilities as soon as they’re found. We will never stop our tireless work to keep our users safe.

Se også: Priser på iPhones

 

Flere tusind brugere ramt i følge Google

Google mener, at de pågældende hjemmesider, der trængte ind i iPhones, fik adgang til at stjæle privat data som beskeder, billeder og placeringsoplysninger i real time. Og det uden det store besvær, så snart brugeren havde været inde på hjemmesiden.

Efter Googles mening har flere tusinde været inde på hjemmesiderne hver uge over en periode på to år, mens sårbarhederne har fundets i både iOS 10, iOS 11 og iOS 12. Apple ordnede problemet i iOS 12.1.4 i februar i år.

Se også: Nyheder om Apple