Met de uitgave van gisteren van iOS 14.4 en alle andere besturingssystemen heeft Apple zijn typische bugfixes toegevoegd. Apple erkent echter dat iOS 14.4 drie beveiligingsbugs oplost waarvan het bedrijf zegt dat ze “actief konden worden uitgebuit”. Dit is de eerste keer dat Apple expliciet erkent dat er een beveiligingsfout is verholpen waarvan misbruik had kunnen worden gemaakt bij een kwaadwillende aanval.
Safari- en Kernel-bugs zijn verholpen door iOS 14.4
In het iOS 14.4-beveiligingsdocument hierkun je de beschrijving zien van de drie bugs die met de update zijn verholpen. Ze zijn als volgt:
CVE-2021-1782: een kwaadwillende toepassing kan toegang krijgen tot verhoogde rechten in de kernel.
CVE-2021-1870 en CVE-2021-1871: een externe aanvaller kan de uitvoering van willekeurige uitvoeringscode in Webkit veroorzaken.
De kernel is een fundamenteel onderdeel van het besturingssysteem waarmee de rest van de software toegang heeft tot de hardware. Webkit is de door Apple ontwikkelde browsermotor voor Safari, die zowel op macOS als op iOS wordt gebruikt. Vaak gebruikt een hacker meerdere bugs in een keten om toegang te krijgen tot een apparaat. In dit geval hebben we twee “sleutels” om binnen te komen en een “deur” om mee te openen.
Het is niet bekend of het is gebruikt tegen een of meer gebruikers of dat het op grote schaal is uitgebuit. In de beveiligingsnota zelf staat echter dat “aanvullende details binnenkort beschikbaar zullen zijn”.
Een anonieme onderzoeker zou beloond kunnen worden
In de beveiligingsopmerkingen voor een nieuwe softwareversie geeft Apple meestal de persoon of het team aan dat de software heeft gevonden. Als er geen directe attributie verschijnt, wordt aangenomen dat deze is opgelost door hun eigen team. Maar in dit geval worden de drie bugs toegeschreven aan “een anonieme onderzoeker”.
In de wereld van hardware- en softwarebeveiliging is het gebruikelijk om dergelijke bugs openbaar te maken zodra contact met het bedrijf is opgenomen en de bugs zijn verholpen. Op deze manier win je relevantie en prestige bij collega’s, alsof het een nieuwe cv-lijn is. Daarom is de anonimiteit van de persoon of groep die de drie fouten bekend heeft gemaakt nog opvallender.
Het is de moeite waard eraan te denken dat elke update bugs oplost, in sommige gevallen grote, die helpen om de veiligheid van onze apparaten te beschermen.
Het is niet de eerste keer dat beveiligingsbugs worden ontdekt die kwaadwillig zijn misbruikt. Een van de meest beruchte gevallen was Pegasus, een set van drie bugs die ook toegang gaven tot de kernel. Ze werden door de Verenigde Arabische Emiraten gebruikt om een politieke dissident in het land te bespioneren, die in de zomer van 2016 door Apple werd opgelost.
Apple heeft enige tijd geleden een beloningsprogramma gelanceerd, waar het geldprijzen toekent aan degenen die erin slagen de beveiliging van zijn apparaten te kraken. Prijzen variëren van 100.000 USD voor het omzeilen van het vergrendelingsscherm tot 1 miljoen USD voor het beheren van code in de kernel zonder klikken.
De anonieme tipgever zou natuurlijk wel een paar honderdduizend dollar kunnen innen voor die drie bugs. We zullen zien of we hier de komende weken meer over te weten komen.