Appleweetjes

Marktplaatsen voor iOS kwetsbaarheden worden overspoeld met nieuwe lekken

Apple doet er alles aan om hun apparaten te beschermen tegen diverse kwetsbaarheden. Maar hier en daar loopt het wel eens mis. Zo werd er vorige week nog bekend gemaakt dat een kwetsbaarheid onder iOS jarenlang misbruikt werd om iPhones te bespioneren.

Apple neemt beveiliging en privacy zeer serieus. Apple apparaten worden nog steeds beschouwd als veilige consumentenapparaten op de markt. Maar toch wordt het duidelijk dat beveiliging een werkpuntje is waarbij Apple een tandje bij moet steken. Dat beseft de fabrikant ook zelf. Onlangs maakte ze bekend dat ze hun bug bounty programma gaan uitbreiden. Met dit programma daagt Apple in feite iedereen uit om fouten in hun beveiligingssystemen te vinden. Iedereen die hierin slaagt wordt beloond. Hoe groter de fout, hoe hoger de beloning.

Maar in een nieuw rapport van Vice blijkt dat de ontdekking van iOS kwetsbaarheden blijft groeien. Er komen er zelfs zoveel nieuwe uit dat Zerodium hun prijsstructuur heeft verlaagd. Zerodium is een commercieel bedrijf dat geld op tafel legt voor een beveiligingslek. Het bedrijf verkoopt deze dan verder aan andere bedrijven of overheidsinstanties zodat deze hiermee aan de slag kunnen gaan.

De ontdekkingen van iOS kwetsbaarheden zijn zo groot dat deze momenteel minder waard zijn dan een Android kwetsbaarheid. Voor een iOS kwetsbaarheid dat volledige controle geeft over het toestel zonder interactie van de gebruiker wordt momenteel 2 miljoen dollar betaald. Eenzelfde kwetsbaarheid onder Android is bij Zerodium maar liefst 2,5 miljoen dollar waard. Daarnaast heeft Zerodium de prijs verlaagd voor een iOS kwetsbaar waarbij één interactie van de gebruiker is vereist naar 1 miljoen dollar. Voorheen werd hiervoor nog 1,5 miljoen dollar betaald.

De markt wordt volgens Zerodium overspoeld met iOS beveiligingslekken die meestal misbruik maken van Safari of iMessage. Voor Android is de situatie wat anders. Door de fragmentatie van apparaten en allerlei versies van het besturingssysteem is het zeer moeilijk om een kwetsbaarheid te vinden die op zoveel mogelijk apparaten werkt. Daarom dat de prijs hiervoor momenteel hoger ligt.

Crowdfense is een ander commercieel bedrijf dat ook dergelijke kwetsbaarheden verkoopt. Zij bevestigen dat er inderdaad meer iOS kwetsbaarheden uitkomen dan bij Android. De directeur van Crowdfense Andrea Zapparoli Manzoni nuanceert weliswaar het probleem. Volgens hem komen er inderdaad veel iOS kwetsbaarheden uit maar zijn ze niet allemaal goed bruikbaar. Veel beveiligingsonderzoekers trachten zoveel mogelijk geld binnen te halen maar hun ontdekte kwetsbaarheden kunnen niet tot veel leiden.

De groei van kwetsbaarheden bij Apple apparaten toont weliswaar aan dat beveiligingsonderzoekers meer en meer interesse hebben in deze markt. We kunnen dus verwachten dat Apple meer gaat investeren in de beveiliging van hun apparaten.

Bekijk ook deze weetjes

Appleweetjes maakt gebruik van cookies voor een optimale websitebeleving. We doen dit om het gebruik van onze website te analyseren, het delen van social media content mogelijk te maken en gerichte advertenties te tonen. Wilt u meer informatie over het cookiegebruik kijk dan in onze Privacyverklaring. Accepteer Lees meer