Apple borde skämmas

9 Sep 2019

Efter att det i särklass värsta säkerhetshålet i iOS historia avslöjats har mer fokus lagts på hur det hanterats av de inblandande snarare än de som faktiskt drabbats av det. Tondövheten hos både Google och Apple är talande, men det är främst Apple som skämmer ut sig i den här affären.

Först kanske vi ska reda ut vad det hela egentligen handlar om. Ett allvarligt säkerhetshål som funnits i Apples operativsystem iOS från version 10 till och med 12 har gjort det möjligt för mindre trevliga aktörer att skjuta in skadlig kod i iOS-enhetens nyckelhanterare, Keychain, vilket i sin tur gjort det möjligt att avlyssna meddelanden och trafik till applikationer som exempelvis Whatsapp, Telegram, Imessage och lokaliseringsinformation – helt enkelt var den hackade enheten befann sig vid en viss tidpunkt. Attacken kunde injeceras i en iOS-enhet genom att besöka en webbsida där den skadliga koden trycktes in i enheten helt i tysthet.

Efter att Googles säkerhetsforskare i Project Zero rapporterat problemet till Apple, utan att offentliggöra uppgifterna vilket är kutym och god stil eftersom buggen ännu inte var fixad, kunde Apple åtgärda problemet i februari i år efter tio dagar. Gott så.

När Google i slutet på augusti publicerade all information om säkerhetsbuggen, vilket också är kutym eftersom säkerhetshålet då var fixat sedan ett halvår, kan man utan att överdriva säga det blev en aning infekterat mellan bolagen. Apple svarade via sin pr-sida med ett inlägg där de ömsom kritiserar Project Zero-rapporten och ömsom försöker avdramatisera hur allvarligt säkerhetshålet var. Extra tydligt var också det totala utelämnandet av vilka som låg bakom attacken och mot vilka det främst var riktad. Att Apple dessutom anser detta var en “smal” och “riktad” attack är så långt från sanningen man kan komma – den enda anledningen till att den inte drabbade fler var ju att den inte var allmänt känd, vilket också var varför det tog två år innan den upptäcktes.

I Googles rapport om buggen kan man nämligen lätt få intrycket av att det endast var iOS-användare som var måltavlan för denna typ av bugg. Det var det inte, och innan du funderar över hur det kan vara fallet eftersom buggen ju fanns i iOS så får vi ta lite mer bakgrund. Det har visat sig att det med största sannolikhet var den kinesiska säkerhetstjänsten som låg bakom attacken, som var riktad mot en folkgrupp kallad Uigurer som bland annat bor i Hunanprovinsen i södra Kina. Uigurerna är ofta muslimer och det kan vara en av anledningarna till att Kineserna förföljer denna folkgrupp och bland annat sätter dem i “utbildningsläger”.

Attacken mot Uigurerna var nämligen riktad mot Windows Phone, Android- och iOS-enheter, men det nämnde inte Google i sin rapport. Apple, å sin sida, försöker avdramatisera det hela med att uppge att det var ett “dussintal” webbsajter som låg bakom attacken och de nämner inte med ett enda ord vem eller vilka som låg bakom det hela, sannolikt för att inte riskera att stöta sig med Kinas regim där Apple sedan årtionden har förlagt i princip all montering av sina produkter.

Man kan givetvis fundera över Googles tajming. En vecka, drygt, innan Apple ska presentera nya konkurrerande produkter i form av nya iPhones valde de att släppa rapporten. Det efterföljande debaclet med den debatt som följde i media och där Apple gör allt de kan för att avdramatisera och ta udden av Googles avslöjande säger något om hur knivskarp konkurrensen är från båda håll – Apple är under enorm press och det syns.

Den här typen av säkerhetshål är värda stora pengar, och då pratar vi åtskilliga miljoner dollar, varför det inte är orimligt att anta att de som låg bakom attacken sparade på den tills de hade ett tillräckligt saftigt mål att använda det på. Kineserna, om det nu var de som låg bakom detta, kunde enkelt ha köpt en annonsplats på en större webbsajt i exempelvis USA och skyfflat ut attacken via skadlig kod imbäddad i annonsen och kunnat ta sig in i betydligt fler iOS-enheter än de faktiskt gjorde, men det blev inte så och det ska vi vara glada för.

Det ska också nämnas att bland alla de källor som nämns i Apples buggfixningsrapporter är Project Zero ofta källa till att hjälpa Apple göra sina produkter säkrare. Project Zero finansieras helt av Google och har rapporterat in hundratals allvarliga säkerhetshål till Apple som annars kunde ha orsakat enorma problem för Apples kunder.

Apple visade ingen större tacksamhet för detta när de gav sig på rapporten om detta säkerhetshål utan uppför sig som Apple fortfarande, tyvärr, gör i sina sämsta stunder när de blir trängda – att de känner en enorm press inför lanseringen av nya iPhone-modeller råder det givetvis ingen tvekan om med tanke på hur försäljningen går stadigt nedåt men någon jäkla stil måste man ändå ha. Apple borde skämmas.