Apples gode renommé som et dataselskap med ekstremt høy fokus på sikkerhetstrusler står i fare å bli svekket. Årsak: iPhone og iOS.
[toc] Det er særlig sikkerhets-svakheter i komponenter i nettleseren Safari og meldingstjenesten iMessage som er problemet, skriver nettstedet Cult of Mac.
Kilden for påstanden er sikkerhetsselskapet Zerodium. Dette er et av selskapene som belønner sikkerhetseksperter som oppdager såkalte nulldags-sårbarheter i datasystemer, slik at mottiltak kan bli satt i verk.
På prislisten, som starter på noen tusen dollar, har belønningen for å avdekke nulldagssårarheter i Apples iOS-operativsystem for mobile enheter vært helt oppe på to millioner dollar. Men nå har Android gått forbi. Her kan avsløringen av nulldagssårbarheter nå være verdt hele 2,5 millioner dollar. Fordi de er vanskeligere å finne enn i iOS.
Android sikrere enn iOS?
I klartekst betyr dette at Googles Android-operativsystem for mobiler og nettbrett nå anses for å være sikrere enn iOS for iPhone og iPad, i hvert fall når det gjelder nulldagssårbarheter. Dette er et klart rollebytte – og kanskje belastende for Apples gode renommé på sikkerhetssiden.
Android har lenge hatt ord på seg for å være et mindre sikkert operativsystem enn iOS. En av grunnene er at Android er et sterkt fragmentert operativsystem, med egne tilpasninger for de forskjellige produsentene av Android-mobiler.
Dette har tidligere vært brukt som argument mot Android. Når Google oppdaterer Android og øker sikkerheten, er det ikke sikkert at dette når fram til alle brukerne, for det forsinker utrullingen at oppdateringene må tilpasses hver mobil-produsent.
Men nå viser det seg at dette også kan være en fordel. En sårbarhet som rammer ett bestemt Android-merke, trenger ikke å fungere mot et annet Android-mobilmerke. En sårbarhet som rammer iOS 12, vil derimot ramme mange titalls millioner iOS-enheter.
Klamp om foten?
Apple har jo alltid skrytt av at deres mobilkunder er svært raske til å oppgradere til nyeste versjon av iOS, og har gjort narr av Android-verdenen, der kundene henger fast i gamle Android-versjoner veldig lenge, blant annet nettopp fordi oppdateringene må tilpasses hvert enkelt mobil-merke.
Er en av iPhone og iPads største fordeler i ferd med å bli en klamp om foten?
Apple lover million-dusør
Apple ligger imidlertid ikke på latsiden i dette spørsmålet. For ikke lenge siden kunngjorde Apple at selskapet vil utbetale store dusør-beløp til sikkerhetseksperter som varsler om sårbarheter på alle Apples plattformer.
Apple lover opptil én million dollar til varsler om nulldagssårbarheter, noe som ifølge Cult of Mac er den største dusøren noen av de store teknologiselskapene lokker med – selv om beløpet ligger langt under det som de profesjonelle sårbarhetsjegerne opererer med, som nevnte Zerodium eller konkurrenten Crowdfense.
Nulldagssårbarhet
Hva er så en nulldagssårbarhet? Begrepet er knyttet til en feil eller sårbarhet i et datasystem eller i datakode som det ennå ikke er distribuert noen feilfiks for.
Når noen – vanligvis en eller annen IT-ekspert – oppdager en svakhet eller sårbarhet i et datasystem, blir gjerne selskapet som driver systemet eller står bak programvaren, varslet om sårbarheten. Vanlig prosedyre er da å prøve å utarbeid en feilfiks så fort som mulig og deretter å sørge for at feilfiksen blir distribuert til brukerne eller kundene i all hast.
Selv om potensielle angripere skulle høre om feilen, kan det ta litt tid før de greier å utnytte den, og i mellomtiden er kanskje feilrettingen på plass.
Men noen ganger kan det være en eller annen hacker som er den første til å oppdage svakheten eller sårbarheten i systemet. Da er det ikke mulig for de ansvarlige å reparere systemet i tide, siden de rett og slett ikke vet om feilen eller sikkerhetstrusselen ennå. Ergo snakker vi om en nulldagssårbarhet.
Når svakheter oppdages
Sikkerhetseksperter samarbeider med utviklere, systemleverandører og programvarehus og inngår gjerne en avtale om å holde oppdagede svakheter hemmelig i en viss periode før detaljene om sikkerhetstrusselen blir offentliggjort.
Google Project Zero er en sikkerhetsavdeling hos Google som leter etter sårbarheter i populær programvare. Når feil blir oppdaget, blir selskapet som er ansvarlig for programvaren, varslet og får en 90 dagers frist på seg til å fikse problemet, ifølge TechTarget. Gjelder det en kritisk sikkerhetsbrist, er fristen gjerne kortere.
Nulldagssårbarheter er imidlertid vanskelig å oppdage. Feilen ligger der, men så lenge ingen har unyttet den ennå, er det ikke gått av noen alarm. Sikkerhetsselskaper har derfor utviklet intrikate løsninger for å avsløre at angrep er på gang i det skjulte, eller kan bli det, som for eksempel å lete etter unormal atferd i nettverket.
Mye kjent programvare og mange kjente bedrifter er blitt hardt rammet av nulldagsangrep i senere år, blant annet Adobe Flash Player i 2016 og kredittselskapet Equifax, som i 2017 ble frastjålet persondata til over 145 millioner kunder.
Det er ikke rart at Apple og mange andre dataselskaper tar disse truslene på høyeste alvor.