Apple’s OS X is nog steeds zo lek als een vergiet
Apple blijft onbegrijpelijk stil over het grote lek dat in het besturingssysteem OS X blijkt te zitten. Het gaat niet om zo maar een lekje. De encryptie blijkt niet op orde. Encryptie zorgt er voor dat de boodschap die jij verstuurt - bijvoorbeeld een betaling met een creditcard - onderweg niet is te lezen door mensen die het niet aangaat. Die encryptie werkt niet goed en dus kunnen onbevoegden toegang krijgen tot gebruikers van apple-computers. Tot drie dagen geleden zat het lek ook in de iPhones en iPads, maar daarvoor heeft Apple een fix gemaakt die je kunt downloaden.
Over een oplossing voor het lek in OS X is het bedrijf vaag. De oplossing komt 'very soon', klonk het 24 uur geleden.
Tot die oplossing er is kun je de veiligheid van een Apple-computer niet 100 procent vertrouwen. Volgens tech-sites zijn vooral Safari, iMessenger en Apple's emailclient kwetsbaar, maar ook op andere programma's kan niet zonder meer worden vertrouwd. En het bedrijf, zeer communicatief als er iets te verkopen is, zwijgt.
'Apple houdt zich stil over het probleem. Ze sturen niet eens een waarschuwing naar hun klanten over wat ze wel en niet zouden moeten doen terwijl het lek er nog is', schrijft Forbes. 'Het wordt aan journalisten en beveiligingsexperts overgelaten om dat te doen '
Ik wil even een opmerking plaatsen. Er zijn twee redenen voor encryptie mogelijk. Voor eigen gegevens te beschermen tegen nieuwsgierigheid van anderen, of om gegevens beveiligd uit te wisselen mèt anderen. In het eerste geval, als geen ander het mag lezen kan Apple een eigen versleuteling gebruiken, dit wordt gebruikt in de File Vault. Het ontsleutelen kost heel veel tijd en moeite. Dan is er de versleuteling voor communicatie met o.a. de bank. Apple kan daarin geen eigen systeem gebruiken omdat bijvoorbeeld de bank à la minute deze gegevens weer moet ontcijferen. De gebruikte systemen van versleuteling zijn daarom universeel. Als het ware zijn Apple en Microsoft, maar ook alle andere bedenkers van besturingssystemen zijn samen rond de tafel gaan zitten en hebben versleutelingen afgesproken. De reden is dat de encryptie alleen bedoeld is om de gegevens tijdens het transport veilig te stellen. Per definitie kan en mag Apple hier dus geen eigen koers in varen.
Ik weet niet precies wat je met dit verhaal wil zeggen, maar een paar dingen kloppen niet in je verhaal. Op de eerste plaats is de encryptie die gebruikt wordt in Apple’s File Vault niet door Apple zelf ontwikkeld, maar is gewoon AES encryptie. Op de tweede plaats worden encryptiestandaarden niet ontwikkeld door Apple en Microsoft zelf. AES bijvoorbeeld is ontwikkeld door Joan Daemen en Vincent Rijmen. Twee Belgische cryptografen.
(in antwoord op vanhetgoor)Tot slot is dit beveiligingslek in de Apple producten een blunder van de bovenste plank. Als je naar een website gaat via SSL (https) dan verzuimt je Apple apparaat te controleren aan de hand van het certificaat of de “andere kant” wel de partij is die jij denkt dat het is. Dat maakt je Apple device kwestbaar voor man in the middle attacks. Een hacker zou zich tussen jou en je bank op kunnen stellen en jouw betalingsverkeer kunnen manipuleren.
Dat er een fout in het besturingssysteem zit kan gebeuren (al is deze wel erg pijnlijk), maar dat Apple het vervolgens nalaat klanten goed te informeren over de gevaren is echt stuitend.
Apple heeft een veiligheidsprobleem? Hoe kan dat nou, Apple is toch helemaal super de luxe veilig zeggen de Apple fanboys altijd? Veel beter dan dat die Windowsprut? 😛
https://gotofail.com is de site waarmee je de bug kunt testen met de applicatie die je wilt gebruiken..Afgezien daarvan, code testing is nog steeds niet goed geregeld. dat deze bug er in kon blijven zitten isn toch wel bizar.
Ik klaag niet. Update 10.9.2 van 769 MB stond vanavond voor de digitale deur en 40 minuten later was de klus geklaard. Hoezo laks?