Apple kritiserade för att på ett okänsligt sätt nedtala Googles avslöjanden för iOS-sårbarheter

0 Shares

Svart iPhone

Apple har försökt att bagatellisera oro från Google om säkerhetsproblem i iOS som kan utnyttjas av skadliga webbplatser. Googles Project Zero avslöjade nyligen detaljer om brister i iOS som användes för att rikta in sig på och övervaka iPhone-användare.

Andra säkerhetsforskare varnade för att sårbarheterna användes för att rikta sig mot uiguriska muslimer, eventuellt i en kampanj som drivs av den kinesiska regeringen. Efter att ha varit tyst i mer än en vecka efter avslöjandena utfärdade Apple äntligen ett uttalande som svarade på resultaten och fick kritik att företaget försökte bagatellisera problemen.

Se även:

I slutet av augusti gav säkerhetsforskaren Ian Beer en detaljerad uppdelning av en serie iOS-exploater som har “förmågan att rikta in sig på och övervaka privata aktiviteter i hela befolkningen i realtid”. Han sa också att de identifierade bristerna användes i ett “ihållande försök att hacka användare av iPhones i vissa samhällen under en period av minst två år”.

Några dagar senare föreslogs det av säkerhetsforskare från Volexity att exploateringen användes för att övervaka Uyghur-muslimer i Xinjiang Uyghur Autonomous Region (XUAR) i nordvästra Kina.

Apple utfärdade ett uttalande, publicerat på sin webbplats:

Förra veckan publicerade Google en blogg om sårbarheter som Apple fixade för iOS-användare i februari. Vi har hört från kunder som berörs av några av påståendena och vi vill se till att alla våra kunder har fakta.

För det första var den sofistikerade attacken snävt fokuserad, inte ett brett utnyttjande av iPhones “en massa” som beskrivs. Attacken drabbade färre än ett dussin webbplatser som fokuserar på innehåll relaterat till Uighur-samhället. Oavsett attackens omfattning tar vi all användares säkerhet och allvar på allvar.

Googles inlägg, utfärdat sex månader efter att iOS-korrigeringar släpptes, skapar ett falskt intryck av “massutnyttjande” för att “övervaka hela befolkningens privata aktiviteter i realtid”, vilket skapar rädsla för alla iPhone-användare att deras enheter har äventyrats. Så var aldrig fallet.

För det andra tyder alla bevis på att dessa webbplatsattacker endast var operativa under en kort period, ungefär två månader, inte “två år” som Google antyder. Vi fixade sårbarheterna i fråga i februari – vi arbetade extremt snabbt för att lösa problemet bara tio dagar efter att vi fick veta det. När Google kontaktade oss var vi redan i färd med att fixa de exploaterade buggarna.

Säkerhet är en oändlig resa och våra kunder kan vara säkra på att vi arbetar för dem. iOS-säkerhet är oöverträffad eftersom vi tar ett helhetsansvar för säkerheten för vår hårdvara och programvara. Våra produktsäkerhetsteam runt om i världen itrerar ständigt att införa nya skydd och korrigera sårbarheter så snart de hittas. Vi kommer aldrig att stoppa vårt outtröttliga arbete för att skydda våra användare.

Efter uttalandet kritiserades Apple för nit-picking och för att inte visa tillräcklig sympati och förståelse för Uyghur-samhället. Google gjorde en poäng med att säga att antalet skadliga webbplatser som upptäcktes var litet, men Apple kände behovet av att lyfta fram detta på ett sådant sätt att det verkar som om saken var överdriven.

Bland dem som slog ut på företaget var moderkortjournalisten Joseph Cox och UC Berkeleys International Computer Science Institute-forskare Nicholas Weaver:

Kritik anslöt sig till tidigare Facebooks säkerhetschef Alex Stamos som twittrade:

Google utfärdade ett uttalande som svar på Apple och sa:

Project Zero publicerar teknisk forskning som är utformad för att främja förståelsen av säkerhetssårbarheter, vilket leder till bättre defensiva strategier. Vi står för vår djupgående forskning som skrevs för att fokusera på de tekniska aspekterna av dessa sårbarheter. Vi kommer att fortsätta arbeta med Apple och andra ledande företag för att skydda människor online.

Bildkredit: Primakov / Shutterstock

0 Shares