Door een nog onbekende bron is de software gelekt die wordt gebruikt voor het opstarten van iPhones, iPods, iPads en mogelijk ook meer Apple-apparaten.
De software die iBoot of SecureROM door Apple wordt genoemd, is te vergelijken met de BIOS van je computer of laptop. BIOS staat voor Basic-Input-Output-System, oftwel het basissysteem dat als eerst wordt geladen voor je besturingssysteem. Dit zorgt ervoor dat Windows jouw apparaten zoals het geheugen, de harde schijf en andere zaken kan vinden en aansturen. Dus het is het basissysteem dat alles aanstuurt.
iBoot wordt gebruikt om de verschillende componenten zoals het scherm, de microfoon, WiFi maar ook de accu aan te sturen van je smartphone. Hier is iBoot de brug tussen de verschillende smartphonecomponenten en de software die erop draait. In het geval van iPhone heet de software iOS. Apple ondertekent de software digitaal om misbruik te voorkomen en beschermt deze software op een bepaalde manier. Hierdoor is het voor gebruikers alleen te gebruiken en dus niet aan te passen. Deze methode heeft er voor gezorgd dat iOS beter bestand is tegen hacking.
De broncode van deze opstart-software, die getekend en beschermd is, wordt in de fabriek al op de smartphone gezet. Deze software is nu dus gelekt.
Maar wat voor impact heeft dit eigenlijk op je iPhone, iPod of een iPad? Nou, best veel, want op het moment dat hackers kwetsbaarheden vinden in dit gedeelte van de iPhone, dan kunnen ze met deze kwetsbaarheden een iPhone infecteren met virussen of malware.
Apple betaalt onderzoekers tot 200.000 dollar om kwetsbaarheden in iBoot te melden, maar waarom eigenlijk zo veel? Omdat iBoot een van de belangrijkste componenten is voor de veiligheid en stabiliteit van iOS. Door het gesloten te houden probeert Apple de kans te verkleinen dat er kwetsbaarheden in worden gevonden, omdat hackers niet weten hoe de code in elkaar zit.
Daar is dus nu verandering in gekomen, door de gelekte broncode kunnen onderzoekers erachter komen hoe het opstartprocess van een iPhone nou daadwerkelijk verloopt en of daar kwetsbaarheden in zitten die door hackers kunnen worden misbruikt.
Hoe makkelijk is het voor Apple om kwetsbaarheden die worden gevonden in iBoot op te lossen? Niet zo heel makkelijk blijkt. Op dit moment is het namelijk onduidelijk of iBoot door Apple kan worden geupdate, waardoor vooralsnog alleen nieuwe Apple-apparaten die uit de fabriek komen rollen beschermd zullen zijn voor de kwetsbaarheden die mogelijk worden gevonden in de software. Als die überhaupt worden gevonden en bij Apple worden gemeld. Hierdoor lopen dus potentieel heel veel consumenten een behoorlijk risico.
De website waarop de broncode online werd gezet is inmiddels door Apple middels een auteursrechten verzoek offline gehaald.
Hieronder is een screenshot te zien van de website waarop de broncode toen deze nog online stond
Het feit dat Apple deze manier heeft gekozen van beschermen van hun apparaten (namelijk het niet inzichtelijk maken van de code die gebruikt wordt) zorgt er ook voor dat mogelijk gaten in de beveiliging niet of veel minder worden gevonden. Dat draagt niet bij aan de veiligheid van smartphones en de veiligheid van de gebruikers. Een ding is duidelijk, security by obsecurity is niet de manier is nu maar weer gebleken.
We zullen de komende tijd nog moeten zien wat voor impact dit zal hebben op Apple-gebruikers en ik zal jullie de komende tijd in ieder geval op de hoogte houden van de ontwikkelingen rondom dit lek.
