Project Zero, dat eind vorige maand een groot hack van iPhones aan het licht bracht, heeft volgens Apple de schaal van de aanval overdreven en andere details verzwegen.
Eind augustus pakte Project Zero uit met nieuws over een groot iPhone-lek. Een sequentie van kwetsbaarheiden zou door hackers zijn misbruikt om maanden of zelfs jarenlang totale toegang te krijgen tot iOS-toestellen, tot Google de kwetsbaarheid in februari ontdekte en Apple op de hoogte bracht. De impact van het lek leek enorm, al waren er van het begin af aan wat onduidelijkheden. Zo misbruikten hackers specifieke websites om in te breken op iPhones, maar liet Project Zero niet weten om welke domeinen het ging.
Flinke nuance
Apple laat nu weten dat Google de werkelijke situatie niet waarheidsgetrouw heeft voorgesteld. In een eigen blogpost zet het de puntjes op de i. Zo zou de aanval, in tegenstelling tot wat Google doet uitschijnen, niet breed zijn ingezet. Apple benadrukt dat het om een gerichte campagne ging. Dat werd eerder al bevestigd door onder andere TechCrunch, dat ontdekte dat de campagne van China afkomstig was, met de Uyghur-moslimminderheid als doelwit. De besmette website zouden erg specifiek zijn gekozen om die doelgroep te bereiken. Het is volgens Apple dus niet zo dat iedereen met een iPhone een effectief risico liep. Bovendien liep de aanval volgens Apple maar enkele maanden, en dus geen jaren zoals eerder werd gesuggereerd.
Intussen is ook gebleken dat de Chinese campagne zich niet exclusief op iPhone-gebruikers richtte. Ook Windows en Android maakten deel uit van de aanval, al is het niet duidelijk hoe en in welke mate. Het is ontegensprekelijk belangrijk dat Project Zero problemen zoals het iPhone-lek naar buiten brengen. De manier waarop is echter vreemd. Het lijkt alsof Googles nochtans gerenomeerde beveiligingsteam opzettelijk bepaalde feiten in de verf heeft gezet en andere heeft verzwegen. Opzettelijk of niet: het is niet goed voor de perceptie van het team als onafhankelijk.
Misplaatste arrogantie
Apple, dat zich terecht onheus behandeld mag voelen, slaagt er uiteindelijk zelf nog in om zichzelf in de voet te schieten door even terloops te vermelden dat ‘iOS-beveiliging ongeëvenaard is.” Grote woorden van een notoir ontransparant bedrijf dat nog steeds niet heeft laten weten wat er nu precies lek was en hoe wat de patches daaraan veranderd hebben. Bovendien waren de iPhones wel degelijk lek als een zeef. Dat de aanval niet op grote schaal werd uitgerold, is geen verdienste van Apple. Het snelle patchen na de ontdekking van de problemen is dat natuurlijk wel.
Nu het stof is gaan liggen kunnen we één en ander met zekerheid stellen. Een complexe sequentie van lekken maakte iPhones kwetsbaar voor misbruik, tot het stelen van data toe. De aanval werd opgezet door China in het kader van een doelgerichte campagne waar ook andere vectoren bij betrokken waren. Er is momenteel geen weet van andere gelijkaardige aanvallen op grotere schaal.
Gerelateerd: iPhones in stilte gehackt na bezoek malafide websites