I slutten av august ble det rapportert om en rekke sikkerhetshull i iOS som satte hackere i stand til å stjele informasjon, deriblant passord, fra iPhone-telefoner ved hjelp av hackede nettsider.
Sårbarhetene ble avdekket av forskere hos Googles Project Zero og omtalt i en lang bloggartikkel. I artikkelen ble det blant annet hevdet at sikkerhetshullene ble brukt av hackere i en bred kampanje mot iPhone-brukere i en periode på to år.
– Skaper frykt blant iPhone-brukere
Nå har Apple selv kommet på banen for å roe gemyttene med beskyldninger om at Google overdriver faren betydelig.
I en pressemelding på sine hjemmesider hevder Apple at hacker-angrepet hadde et smalt fokus, og at det ikke dreide seg om en massekampanje slik Google-forskerne hevdet.
Ifølge Apple skal det ha ha vært mindre enn ett dusin hackede nettsider som ble brukt i angrepet mot iPhone-brukerne, og selskapet bedyrer at angrepene kun pågikk i rundt to måneder, og ikke to år som det ble hevdet av Google.
Det pekes også på at hullene ble tettet av Apple for lenge siden, og at Google derfor bidrar til å skape unødvendig frykt blant brukere.
– Googles artikkel, publisert seks måneder etter iOS-patchene ble sluppet, skaper et falsk inntrykk av «masseutnyttelse» for å «overvåke de private aktivitetene til hele befolkninger i sanntid», og piske opp frykt blant alle iPhone-brukere for at enheten deres har blitt kompromittert. Dette var aldri tilfellet, skriver Apple.
Alvorlige sårbarheter
Sikkerhetshullen som ble avdekket av Google telte til sammen 14 stykker og omfattet både Safari-nettleseren, iOS-kernelen og omgåelse av forsvarsløsningene – deriblant sandkasse-teknologien.
Ved å brukere hackede nettsider til å infisere telefoner med ondsinnet programvare som utnyttet sårbarhetene skal hackere ha vært i stand til å få tilgang til sensitive data på brukernes iPhone-telefoner. Det skal ha vært tilstrekkelig å simpelthen besøke de hackede nettsidene for å bli rammet av angrepene.
Blant dataene som skal ha vært mulig å hente ut var data fra meldingsapper som iMessage, WhatsApp og Telegram, i tillegg til posisjonsdata i sanntid og kontaktdetaljer. Det skal også ha vært mulig å ta kopier av bilder og e-poster mottatt på enheten, alt uten brukerens viten.
Apple skal altså ha fikset sårbarhetene i februar måned, og ifølge selskapet skal de allerede ha vært i gang med reparasjonsarbeidet da Google informerte dem om funnene.
Alle detaljene om sikkerhetshullene kan du finne i en dyptpløyende artikkel på Project Zero-bloggen.