Dit is waarom je Apple-apparaten een stuk veiliger worden

Hoewel Apple-apparaten bekend staan ​​om hun beveiligings- en privacyfuncties, zijn ze niet onkwetsbaar voor hacking of andere aanvallen. Gelukkig worden Apple-apparaten in de toekomst een stuk veiliger.

Verwant:

• iOS 13 privacy- en beveiligingsverbeteringen aangekondigd op WWDC
• Dit zijn de nieuwe beveiligings- en privacyfuncties voor macOS Mojave en iOS 12
• Tips voor Mac-beveiliging en het vermijden van virussen

Dat komt door recente beleidswijzigingen van Apple die deze maand zijn aangekondigd op de Black Hat-beveiligingsconferenties in Las Vegas. Daarnaast zijn er ook enkele opmerkelijke exploits onthuld tijdens Black Hat en Def Con 2019.

Dit is wat u moet weten over het recente Apple-beveiligingsnieuws.

Wijzigingen in het beveiligingsbeleid van Apple

Ivan Krstić, hoofd beveiligingstechniek van Apple, deed een aantal belangrijke aankondigingen tijdens de Black Hat-conferentie van dit jaar.

Hoewel de aankondigingen gericht waren op ethische hackers en beveiligingsonderzoekers, vertegenwoordigen ze grote veranderingen in het beveiligingsbeleid van Apple. Deze kunnen in de toekomst heel goed resulteren in veel veiligere apparaten.

Bug Bounty-programma

Het grootste Apple-gerelateerde nieuws van de Black Hat-beveiligingsconferentie in augustus was een aanzienlijke uitbreiding van het bugbounty-programma van Apple.

In wezen is een bug bounty-programma een manier voor ethische hackers en beveiligingsonderzoekers om bestaande platforms te helpen versterken. Zodra ze bijvoorbeeld een bug of kwetsbaarheid in iOS vinden, melden ze die fout aan Apple - en krijgen ze ervoor betaald.

Wat de veranderingen betreft, breidt Apple het bug bounty-programma in de toekomst uit naar macOS-apparaten. Het verhoogt ook de maximale grootte van een premie van $ 200.000 per exploit naar $ 1 miljoen per exploit. Dat is natuurlijk afhankelijk van hoe ernstig het is.

Apple introduceerde in 2016 voor het eerst een iOS-bugbounty-programma. Maar tot augustus was er geen dergelijk programma voor macOS (dat inherent kwetsbaarder is voor aanvallen dan het mobiele besturingssysteem van Apple).

Dat veroorzaakte beroemde problemen toen een Duitse hacker aanvankelijk weigerde de details van een specifieke fout aan Apple te melden. De hacker noemde gebrek aan uitbetaling als reden, ook al gaf hij Apple uiteindelijk de details.

Pre-gejailbreakte iPhones

Apple zal ook gespecialiseerde iPhones leveren aan doorgelichte hackers en beveiligingsonderzoekers, zodat ze kunnen proberen iOS te kraken.

De iPhones worden beschreven als vooraf gejailbreakte, "dev" -apparaten die veel van de beveiligingsmaatregelen missen die zijn ingebouwd in de consumentenversie van iOS.

Deze specialisten zouden penetratietesters veel meer toegang moeten geven tot de onderliggende softwaresystemen. Zo kunnen ze kwetsbaarheden in de software een stuk makkelijker vinden.

De iPhones zullen worden geleverd als onderdeel van Apple's iOS Security Research Device Program, dat volgend jaar van plan is te lanceren.

Het is vermeldenswaard dat er een bestaande zwarte markt is voor de bovengenoemde "dev" iPhones.

Volgens een Motherboard-rapport van eerder dit jaar worden deze pre-release iPhones soms uit de productielijn van Apple gesmokkeld. Van daaruit halen ze vaak een hoge prijs voordat ze uiteindelijk dieven, hackers en beveiligingsonderzoekers bereiken.

opmerkelijke kwetsbaarheden

Hoewel het beveiligingsbeleid verandert en hacker-iPhones het grootste nieuws zijn van Black Hat en Def Con, beveiligingsonderzoekers en white hat-hackers onthulden ook een aantal opmerkelijke Apple-gerelateerde kwetsbaarheden.

Deze zijn belangrijk om op te merken als u een Apple-apparaat gebruikt en u uw gegevensprivacy en -beveiliging wilt behouden.

Face ID-bypass

Apple zegt dat Face ID aanzienlijk veiliger is dan Touch ID. En in de praktijk is het eigenlijk veel moeilijker te omzeilen. Maar dat betekent niet dat exploits niet bestaan.

Onderzoekers van Tencent ontdekten dat ze het 'liveness'-detectiesysteem van Face ID voor de gek konden houden. In wezen is het een maatregel die bedoeld is om echte of nepkenmerken van mensen te onderscheiden - en het weerhoudt mensen ervan uw apparaat met uw gezicht te ontgrendelen wanneer u slaapt.

De onderzoekers ontwikkelden een gepatenteerde methode die het systeem voor de gek kan houden door alleen een bril en tape te gebruiken. In wezen kan deze "nep"-bril de blik van een oog op het gezicht van een bewusteloze persoon nabootsen.

De exploit werkt echter alleen bij bewusteloze mensen. Maar het is zorgwekkend. De onderzoekers konden de nepbril op een slapend persoon zetten.

Van daaruit konden ze het apparaat van de persoon ontgrendelen en geld naar zichzelf sturen via een mobiel betalingsplatform.

Contacten-app

Het iOS-besturingssysteem van Apple, als een ommuurd tuinplatform, is redelijk bestand tegen aanvallen. Gedeeltelijk komt dat omdat er geen gemakkelijke manier is om niet-ondertekende apps op het platform uit te voeren.

Maar beveiligingsonderzoekers van Check Point op Def Con 2019 hebben een manier gevonden om te profiteren van een bug in de app Contacten waardoor hackers niet-ondertekende code op je iPhone kunnen uitvoeren.

Het beveiligingslek is eigenlijk een bug in het SQLite-databaseformaat, dat de app Contacten gebruikt. (De meeste platforms, van iOS en macOS tot Windows 10 en Google Chrome, gebruiken het formaat.)

De onderzoekers ontdekten dat ze kwaadaardige code op een getroffen iPhone konden uitvoeren, inclusief een script dat de wachtwoorden van een gebruiker stal. Ze waren ook in staat om persistentie te krijgen, wat betekent dat ze code konden blijven uitvoeren na een herstart.

Gelukkig is de kwetsbaarheid afhankelijk van het installeren van een kwaadaardige database op een ontgrendeld apparaat. Dus zolang je een hacker geen fysieke toegang geeft tot je ontgrendelde iPhone, zou het goed moeten komen.

Schadelijke kabels

Het wordt al lang aanbevolen dat u geen willekeurige USB-drives op uw computer aansluit. Dankzij een recente ontwikkeling moet u waarschijnlijk ook geen willekeurige Lightning-kabels op uw computer aansluiten.

Dat komt door de O.MG-kabel, een gespecialiseerde hacktool die is ontwikkeld door beveiligingsonderzoeker MG en dit jaar op Def Con pronkte.

De O.MG-kabel ziet eruit en functioneert precies als een typische Apple Lightning-kabel. Het kan je iPhone opladen en het kan je apparaat op je Mac of pc aansluiten.

Maar in de behuizing van de kabel bevindt zich een gepatenteerd implantaat waarmee een aanvaller op afstand toegang tot uw computer kan krijgen. Wanneer het is aangesloten, kan een hacker de Terminal openen en naast andere taken kwaadaardige opdrachten uitvoeren.

Gelukkig zijn de kabels momenteel alleen handgemaakt en kosten ze $ 200 per stuk. Dat zou het risico moeten verkleinen. Maar in de toekomst wilt u waarschijnlijk voorkomen dat u willekeurige Lightning-kabels op uw Mac aansluit.