Hvad Apple holder under wraps?
Apple har offentliggjort en erklæring, der i dag bestrider nogle af de fakta om de seneste hacking kampagne opdaget af Google sikkerhedseksperter.
Apple ‘s tilbagevisning mål for en serie af blog-indlæg, Project Zero, Google’ s elite security team, der blev offentliggjort den 30 August.
Blog-indlæg indeholdt oplysninger om en koordineret kampagne, der anvendes 14 sårbarheder fordelt over fem udnytte kæder til at inficere iOS brugerne med malware, når du besøger bestemte websteder.
Google sagde, at kampagnen begyndte i September 2016, og varede indtil januar 2018, når deres personale opdagede, ondsindede websteder og rapporterede angreb på Apple, som derefter flyttede i til at lappe en nul-dag misbrugt i hacks.
Det blev senere oplyst, at kampagnen var udarbejdet af Kinesiske stats-sponsoreret hackere, og var rettet mod den Muslimske Uighur befolkning bor i Kina og i udlandet. En anden beretning sagde også, at Android-og Windows-brugere var også målrettet med skadelig kode, der er plantet på lignende sites, også rettet mod de samme Uighuir mindretal.
Men i sin blog-indlæg, har Google ikke afsløre målet for disse angreb, og anvendes bredt til at beskrive hacks, som Apple nu bestrider.
Apple ‘ s tilbagevisning
“Det første, den sofistikerede angreb var snævert fokuseret, ikke en bred udnyttelse af iPhones ‘en masse’, som beskrevet,” sagde Apple.
“Angrebet ramte færre end et dusin websteder, der fokuserer på indhold, der er relateret til Uighur-fællesskabet.”
“For det andet, alt tyder på, at disse website angreb kun var i drift i en kort periode, for omtrent to måneder, ikke “to år” på Google indebærer,” sagde Apple. “Vi rettede sårbarheder i spørgsmål i februar — arbejder ekstremt hurtigt at løse problemet, kun 10 dage efter at vi har lært om det. Når Google henvendte sig til os, var vi allerede i færd med at løse de udnyttede fejl.”
Det Cupertino-baserede firma sagde, at iPhone-kunder er nået ud, bekymrede for deres sikkerhed, på grund af Google ‘ s fejlagtige rapport.
Og Apple er ikke alene om disse påstande. Tidligere i denne uge, Yonathan Klijnsma, Chef for Trussel Forskning på RiskIQ, fortalte ZDNet i en privat samtale, at angrebene var faktisk meget målrettet, og at Google var forkert i sin oprindelige vurdering. Han senere delte de samme tanker i en offentlig tweet.
En ting misforstået lidt, er anvendelsesområdet for den P0 & @volexity offentliggjort kampagne(r). Dette vandhul var ikke for alle. Injektioner blev plantet på sites besøgt af bestemte samfund, nogle med land-filtrering.
Fra April => Sept vi så kun 166 nyttelast anmodninger f.e. pic.twitter.com/vSkDnQ6m27
— Yonathan Klijnsma (@ydklijnsma) September 2, 2019
I tweet, han citerede forskning, der er offentliggjort af cyber-sikkerhed firma Volexity, hvor detaljeret en kampagne, der ligner den, der er beskrevet af Apple, men der var rettet mod Android-brugere, i stedet for iOS-brugere.
Klijnsma sagde, at telemetri data fra RiskIQ er Passiv Samlede platform viste, at nyttelasten rettet mod Android-brugere udløses kun 166 gange, en mager antal og langt fra at være en masse-udnyttelse kampagne, og var i harmoni med de angreb, der er rettet mod iOS-brugere.
Han fortalte også, ZDNet, at den ondsindede kode, der er plantet på de steder, der anvendes i disse angreb også indeholdt filtre. Disse filtre vil forhindre, at skadelig kode i at køre, medmindre visse betingelser er opfyldt. Disse betingelser var strenge, og forhindrede den kode, der kører på de enheder, på tilfældige brugere.
Google står ved sin forskning og forskere
I en erklæring sendt til ZDNet, Google sagde, at det fastholder sin oprindelige forskning, på trods af Apples afvisning.
“Project Zero stillinger, teknisk forskning, der er designet til at fremme forståelsen af sikkerhedshuller, som fører til bedre defensive strategier,” en Google-talsmand sagde. “Vi står ved vores dybdegående forskning, der blev skrevet for at fokusere på de tekniske aspekter af disse sårbarheder.”
Desuden er der i den forløbne uge, at Google er blevet lambasted af cyber-sikkerhed samfund for kun at videregive oplysninger om en koordineret kampagne rettet mod iOS-brugere, men ikke den ene, der var rettet mod Android-enheder.
Men Tim Willis, en Google Project Zero medlem sagde, at dette var ikke et tegn på, at Google er useriøs (og prøver at sabotere en rival på mobil OS markedet), men at Google forskerne kun så skadelig kode rettet mod iOS-enheder.
“[Google ‘ s Threat Analysis Group] så kun iOS udnyttelse på disse websteder, når TAG fandt dem tilbage i januar 2019,” sagde han, “og ja, de kiggede efter alt andet.”
… TAG *kun* så iOS udnyttelse på disse websteder, når TAG fandt dem tilbage i januar 2019 (og ja, de så ud til alt andet).
Det sagt, er der nogen derude med fuld kæde 0 dage i det vilde fra Android / Windows, er du velkommen til at nå ud og vi ville elske at tage et kig!
— Tim Willis (@itswillis) September 2, 2019
Willis’ assertment, lavet på September 2, blev bekræftet tre timer senere, når Volexity offentliggjort sin rapport om hacking kampagne rettet mod Android-brugere, hvor selskabet bekræftede, at der var ingen overlapning mellem Android og iOS-kampagner.
Konklusionen her er, at Apple er ret i at kalde sig Google, i det mindste på det første punkt-at kampagnen var ikke en en-masse-hacking amok med henblik på tilfældige iPhone-brugere, men snarere en meget målrettet drift.
Ikke desto mindre, de fleste af cyber-sikkerhed samfund påpegede også, at Apple selv er prætentiøs, fordi det har undladt at advare brugerne, når det har lært af denne hacking kampagne tilbage i februar. De fleste tech-virksomheder, der tydeligt markerer sårbarheder, der er under angreb i sikkerhedsopdateringer. Men Apple har aldrig gjort det, og det ikke nævne tilbage i februar, at nogle af de fejl, det faste var under aktiv udnyttelse.
Ja, Google har måske overdrevet sine påstande, men Apple er ikke offer her. Det Uighuriske mindretal, som Apple har undladt at beskytte.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre