blank

Apple har inte närmare kommenterat huruvida det kommer eller inte kommer en buggfix mot spyware-programmet Pegasus. Det har lett till att en del har dragit slutsatsen att Apple inte kan skydda iOS och iMessage mot den här typen av attacker – en slutsats som det någorlunda är lite för tidigt att dra.

Pegaus, NSO Groups spywareprogram, använder buggar och säkerhetshål för att infektera telefoner, datorer och surfplattor så att de kan avlyssnas. Tidigare har NSO Groups bland annat använt en bugg i WhatsPAp för att distribuera spyware. Npgot som föranlett att NSO Group nu stämts vid domstol i Kalifornien av WhatsApp/Facebook.

iMessage

I den nu avslöjade attacken där en dataläcka avslöjat att NSO Group samlat in över 50 000 telefonnummer bland annat till människorättsaktivister, journalister, advokater, företagsledare och andra så finns också uppgifter om att en hittills okänd bugg i Apples iMessage har använts för att infektera iOS och iPhone – ända upp till den nuvarande versionen 14.6 (under måndagskvällen uppdaterades iOS till version 14.7). Tilläggas kan att det inte är särskilt sannolikt att Apple hunnit att få med en buggfix för Pegasus i version 14.7.

Amnesty International har gått igenom och analyserat flera telefoner som finns med på listan och i åtminstone 37 telefoner finns spår av Pegasus – flera av de telefonerna är iPhone.

Mycket pekar mot att det finns en allvarlig bugg, eller flera, i meddelandetjänsten och att de kan exploateras för att snabbt infektera en iPhine och göra den möjlig att avlyssna och stjäla information från.

Buggfix

Frågan är då om Apple jobbar på ett ta fram en buggfix och här bör has i minnet Apples långa tradition av att vara ytterst ovilliga att diskutera sitt säkerhetsarbete. Apple har sedan årtionden tillbaka använt ”security by obscurity” – det vill säga säkerhetsarbetet diskuteras inte utanför Apple. Det faktum att Apple uttryckt sig en smula vagt, inte har utlovat någon buggfix eller diskuterat när en sådan kan komma att släppas har fått en del att dra slutsatsen att buggen(buggarna som exploateras av Pegasus inte går att skydda sig mot.

Erfarenhet

Min erfarenhet av hur Apple jobbar säger mig att det är alldeles för tidigt att dra några sådana slutsatser. Det finns i princip bara två alternativ här:

  • Apple vet att buggen exploaterar säkerhetshål på ett så sofistikerad och avancerat att det inte går att skydda sig
  • Apple jobbar är på en bug fix men kan inte lämna någon tidsplan därför att utvecklare och tekniker ännu inte har hunnit att studera hur attacken genomförs

Apple brukar aldrig diskutera tidsplaner för när de ska lansera saker och i synnerhet inte buggfixar. Dessutom har jag svårt att tro att om någon skriver mjukvara, som innehåller en bugg (eller flera buggar) att det då inte ska vara möjligt att åtgärda felet med ny, uppdaterad kod.

Kort sagt – jag tror att Apple jobbar på en uppdatering, att det kommer en buggfix men den kan dröja beroende på hur svårt at är att stoppa Pegasus.

0 0 röster
Article Rating
0
Vi vill mycket gärna höra vad du tycker - kommentera mera!x
()
x