Video: Demo of MAJOR FaceTime Bug That Lets People Spy on You! (November 2024)
Apple heeft onlangs een van de ergste beveiligingsfouten opgelost die ooit in iOS zijn ontdekt, waardoor een FaceTime-beller kon horen wat mensen zeiden voordat ze de oproep beantwoordden. Dus wat is er misgegaan en kunnen we nog een soortgelijke ramp voorkomen?
Apple maakt de broncode voor zijn besturingssystemen en apps niet openbaar beschikbaar. Alleen eigen ingenieurs, ontwikkelaars en personeel voor kwaliteitsborging testen en repareren fouten in de toepassingen. En Apple vereist van zijn werknemers dat ze stringente geheimhoudingsovereenkomsten met zijn producten ondertekenen. Deze ommuurde tuinbenadering betekent dat we erop moeten vertrouwen dat Apple veilige producten levert.
Dat gezegd hebbende, Apple heeft een van de meest robuuste softwareontwikkelingsprocessen die er zijn. De reputatie wordt ondersteund door meer dan vier decennia veilige en betrouwbare applicaties en producten te leveren. Maar eens in de zoveel tijd raakten de mislukkingen van beveiliging door onduidelijkheid - afhankelijk van geheimhouding om de beveiliging te waarborgen - thuis. De FaceTime-bug was een voorbeeld.
In vergelijking met gecompliceerde beveiligingsbugs die middelen en expertise vereisen om te ontdekken en te exploiteren, was de FaceTime-bug triviaal. Het werd zelfs ontdekt door een 14-jarige die Fortnite speelde met zijn vrienden.
Maar het roept de vraag op: hoe kan een bedrijf met de integriteit van Apple zo'n overduidelijke fout in een van de meest gebruikte applicaties missen? Werd het opzettelijk veroorzaakt door een ontevreden werknemer die wraak wilde nemen? Was het een door de overheid geïmplanteerde achterdeur? Was het een eerlijke, een-op-een-miljoen fout die door de verdediging van zelfs het meest betrouwbare bedrijf had kunnen glippen?
Het is moeilijk om die vraag onafhankelijk te beantwoorden. We moeten vertrouwen op alle informatie die Apple ons geeft. En tot nu toe heeft Apple niet veel gezegd, behalve dat het de fout in iOS 12.1.4 heeft verholpen en de Arizona-tiener zal belonen die voor het eerst de glitch rapporteerde.
We zullen waarschijnlijk ook nooit weten wanneer het exploit begon. Volgens rapporten was de bug van toepassing op alle apparaten met iOS 12.1 of hoger. IOS 12.1, uitgebracht op 30 oktober 2018, heeft Group FaceTime toegevoegd, de functie met de afluisterfout. Maar het is moeilijk voor te stellen dat een bug in de open lucht op honderden miljoenen apparaten enkele maanden onontdekt zou blijven. Misschien is de bug recenter geïntroduceerd, omdat het ontwikkelingsteam van Apple updates heeft aangebracht aan de server-side software van FaceTime. Nogmaals, we zullen het niet weten tenzij Apple het ons vertelt.
Veel organisaties hebben daarentegen een open-sourcebeleid, waarbij de volledige broncode van hun applicaties op platforms zoals GitHub wordt vrijgegeven en voor iedereen beschikbaar is om te beoordelen. Onafhankelijke experts en ontwikkelaars kunnen vervolgens de beveiliging van de applicatie verifiëren.
De praktijk is de laatste jaren steeds populairder geworden en heeft zelfs een aantal historisch strakke deelnemers aangetrokken.
- iOS 12.1 lost het probleem van de iPhone Smooth Skin Selfie op iOS 12.1 lost het probleem van de iPhone Smooth Skin Selfie op
- Klaar om te videochatten? Hoe FaceTime Ready to Video Chat te groeperen? FaceTime groeperen
- De nieuwste iOS-update van Apple repareert een enge FaceTime-bug De nieuwste iOS-update van Apple repareert een enge FaceTime-bug
Een goed voorbeeld van transparantie is de beveiligde berichtenapp Signal. Open Whisper Systems, het bedrijf dat Signal ontwikkelt, heeft de broncode van alle versies van zijn applicatie op GitHub gepubliceerd. De volledige geschiedenis van de broncode van de app, de bijdragers en de wijzigingen in de app zijn voor iedereen zichtbaar. De broncode van Signal is beoordeeld door honderden experts en heeft de goedkeuring verdiend van marktleiders zoals Bruce Schneier, Edward Snowden en Matt Green.
Betekent dit dat open-source applicaties geen beveiligingsfouten hebben? Verre van. Toepassingen met honderdduizenden coderegels zijn complexe creaties en moeilijk te beveiligen, ongeacht hoeveel ogen de code bekijken.
In feite heeft Signal een paar vervelende eigen bugs uitgezet, waaronder een waarmee hackers je chats in platte tekst zouden kunnen stelen. Maar in tegenstelling tot closed-source apps zoals FaceTime, kan iedereen eenvoudig de bron en redenen voor fouten in apps zoals Signal volgen, evenals wanneer deze zijn ontstaan en welke codewijziging of nieuwe functie hen heeft veroorzaakt. Maar in het geval van de FaceTime-bug moeten we speculeren.
Transparantie schept vertrouwen. Duisternis vernietigt het.
