Apple’s WWDC-aankondigingen deze week hadden een zware focus op veiligheid en privacy. De Amerikaanse technologiegigant heeft een paar moeilijke maanden achter de rug, waarin meerdere problemen en kwetsbaarheden werden gemeld, en lijkt nu dit alles achter zich te willen laten om zijn geloofsbrieven op het gebied van beveiliging en privacy opnieuw te bevestigen en zich te onderscheiden van de concurrentie.
Maar Apple pakt dit niet altijd goed aan, zoals perfect wordt geïllustreerd door een beveiligingsprobleem dat het aanvankelijk ontkende, maar nu plotseling heeft bevestigd door een fix uit te geven. Die oplossing is echter nog niet beschikbaar, waardoor gebruikers risico’s lopen. De oplossing komt met iOS 14, dat in de herfst wordt verwacht.
Terug in februari berichtte ik over een probleem met Apple’s klembordfunctie. Zoals onthuld door beveiligingsonderzoekers Talal Haj Bakry en Tommy Mysk, kunnen alle gegevens die naar het klembord op een iOS-apparaat worden gekopieerd, worden gelezen door elke actieve app. Er is geen melding, geen instelling om de mogelijkheid van een app om toegang te krijgen tot gebruikersinformatie te beperken; de kwetsbaarheid is verborgen – gebruikers hebben geen manier om te vertellen wanneer een app mogelijk hun gegevens steelt.
MEER VAN FORBESSEenvoudige Apple-beveiligingshack: als je een iPhone en MacBook hebt, kijk dan nu wegDoor Zak Doffman
Erger nog, de onderzoekers vertelden me, “het universele klembord kan ook worden beïnvloed door deze kwetsbaarheid om af te luisteren naar wat gebruikers kopiëren.” Wat dit betekent is dat als je iets kopieert op je Mac, het kan worden gelezen door een app op je iPhone. En gezien we de neiging hebben om kopiëren en plakken meer te gebruiken op een desktop of laptop dan op een telefoon, maakt dit het probleem veel ernstiger in de echte wereld.
“We kregen veel verzoeken over dit punt,” vertelden de onderzoekers, “dat we een video hebben toegevoegd die illustreert hoe een iPhone- of iPad-app het klembord op de Mac kan afluisteren.”
Het probleem werd al in januari aan Apple gemeld. “Na het analyseren van de inzending,” legden de onderzoekers uit, “liet Apple ons weten dat ze geen probleem zien met deze kwetsbaarheid.” In wezen leek het standpunt van Apple te zijn dat dit zijn klembordfunctie was die werkte zoals gepland. Er was geen probleem om op te lossen – niets te zien hier.
MEER VAN FORBESBewaar als je TikTok op je iPhone gebruikt: Here’s Why You Should Now Worry-New Security ReportBy Zak Doffman
De onderzoekers hebben zelfs een follow-up vrijgegeven, waarin de manier wordt getoond waarop apps zoals TikTok, die veel van zijn eigen beveiligingsproblemen heeft opgeworpen, “de inhoud van het klembord lezen wanneer het wordt geopend.” En hoewel de onderzoekers erkenden dat “we niet met zekerheid kunnen zeggen wat TikTok doet met de gegevens die het heeft gelezen,” was dit duidelijk een punt van zorg. TikTok van zijn kant vertelde me dat het een probleem was met een Google Ads SDK en dat het opgelost werd. Dat gezegd hebbende, Apple had het in de eerste plaats niet mogen laten gebeuren.
De onderzoekers waren heel duidelijk vanaf hun eerste onthulling. Apple zou een privacy-instelling moeten opnemen, app voor app, die toegang tot het klembord in- of uitschakelt. En op zijn minst zou het een melding op het scherm moeten laten knipperen wanneer een app wel toegang heeft tot het klembord, “om te voorkomen dat apps misbruik maken van het klembord,” zeiden de onderzoekers al in februari, “Apple moet handelen.”
Wel, ondanks dat ze ontkennen dat dit een probleem is, is het ernstig genoeg voor een specifieke fix in iOS 14. “Hoewel Apple ons liet weten dat het geen probleem was toen we het eerder dit jaar meldden,” vertelde Mysk me, “Ik denk dat Apple naar de eisen heeft geluisterd en hun aanvankelijke gedachten over het probleem heeft heroverwogen – ze hebben het precies zo opgelost als we in ons artikel hebben aanbevolen.” Mysk merkte ook op dat de melding “anders is dan normale iOS-banners – dit laat zien dat Apple dit specifiek heeft ontworpen voor toegang tot het klembord.”
Dit is een goede zet – het is een echt probleem en het moet worden opgelost. Het zou echter beter zijn geweest als Apple dit al in februari en maart had gezegd, toen dit voor het eerst aan de orde werd gesteld, in plaats van de bezorgdheid te negeren. Ik heb Apple toen benaderd voor commentaar, maar geen reactie ontvangen, en heb dat nu ook gedaan, nu de fix over een paar maanden wordt verwacht.
“Ik ben erg blij dat ons onderzoek heeft geleid tot zo’n grote verandering die de privacy van gebruikers zeker verder zal bewaken,” vertelde Mysk. “Ik wil graag vermelden dat we Apple hebben benaderd voor een reactie nadat we de fix hadden ontdekt. De reactie van Apple was zeer snel en positief en ze vroegen om onze toeschrijvingsinformatie.”
Volg me op Twitter of LinkedIn.