Et meget alvorligt sikkerhedshul i iOS er blevet opdaget. Det påstår Zerodium, der er et firma det handler med sikkerhedshuller, det vil sige at når de får oplysninger om sikkerhedshuller i diverse hardware og software, så sælger de oplysningerne videre til andre. Det kunne være myndigheder eller firmaer, der ønsker at beskytte sig, men også folk med knap så ædle hensigter.

I september lovede Zerodium en 1 million dollars, hvis nogle kunne finde et browserbaseret jailbreak til iOS. Kravet var at det skulle kunne igangsættes uden at brugeren skulle foretage sig andet end at besøge en hjemmeside med sin iOS-enhed.

Nu oplyser Chaouki Bekrar fra Zerodium, at der er fundet en hul, og at præmien kommer til udbetaling. At iOS med andre ord nu kan jailbreakes alene ved at man besøger en hjemmeside. Det er ret alvorligt. Man skal huske på, at jailbreak bare er er smart ord for et sikkerhedshul, som brugeren selv har gavn af. Så snart andre bruger det, er det pludselig ikke længere så sjovt. Hvem ønsker eksempelvis at myndighederne får adgang til private oplysninger på ens telefon, bare fordi man har været en tur forbi en given hjemmeside?

Ifølge Chaouki Bekrar vil oplysningerne nu bliver videregivet til Zerodiums kunder. Der er ingen planer om at informere Apple om hullet, så det kan blive lukket. Zerodium lever at at holde sikkerhedshuller skjult så deres kunder får længst mulig tid til at udnytte hullerne.

Ingen kan verificere, at oplysningerne er sande

Umiddelbart skal man dog nok slå koldt vand i blodet. Bortset fra Chaouki Bekrar, er der ingen der kan bekræfte at oplysningerne er korrekte. Da Bekrar har en meget stor økonomisk interesse i sagen, er hans sandhedsværdi nok til at overse. Han bevæger sig i en dybt uetisk branche blandt platugler og hackere, så man kan ikke udelukke at han selv er en af dem. Ved at smøre lidt tykt på, håber han måske på at få nogle ekstra kunder eller bare noget opmærksomhed. Måske er håbet at Apple vil betale dyrt for oplysningerne.

Man skal også huske på, at det kun er 5-7 uger siden Bekrar satte gang i konkurrencen om at finde et hul. Det er utroligt, hvis det så hurtigt er lykkedes nogle at finde et, når man tænker på at mange andre i årevise har leget katten og musen med Apple, hver gang der kommer en opdatering til iOS. Så nemt er det altså heller ikke lige at hive et sikkerhedshul af den kaliber op ad lommen på få uger. Bekrar hævder endda at to grupper har kæmpet om at komme først.

Et tredje argument, der taler for at det bare er PR, er at Bekrar overhovedet offentliggør at det er fundet et sikkerhedshul. Det ville man næppe gøre, hvis man lever af hemmeligholdelse. Alene oplysninger om, at der er et hul har en værdi. Har man endelig et hul, er det meget bedre at holde det under radaren. Hvis der er noget om snakken, har Bekrar i hvert fald nu gjort at Apple vil undersøge sagen nærmere. Det er ret dumt, hvis man gerne vil holde hullet åbent så længe som muligt. Igen tyder det altså på, at Bekrar gerne vil gøre sig til over for potentielle kunder.

Har fundet sted tidligere

Når det er sagt, så har der tidligere været sikkerhedshuller, der gjorde det muligt at jailbreake via en browser. En del læsere vil nok huske, at man for 4-5 år siden kunne jailbreake sin enhed bare ved at besøge hjemmesiden jailbeakme.com. Så selvfølgelig er det muligt, at det kan ske igen.

Hvad der helt præcist er op og ned i denne sag, vil de kommende dage nok vise. Hvis Bekrar har en lille smule anstændighed, så lader han i hvert fald en uvildig part se sikkerhedshullet, så vi får andre end hans egne ord for at det overhovedet eksisterer. Ellers kan det ikke betegnes som andet end et PR-stunt.

Og indtil da? Vi kan alligevel ikke gøre ret meget. Det er svært at beskytte sig mod noget, man ikke ved hvad er.

Scroll ned for at se kommentarer

Onlime

Passer du godt på dine data?

Ville det ikke være surt at miste alle dine fotos fordi din iPhone går i stykker? Sørg for at tage backup nu! Onlime tilbyder ubegrænset backup af alle dine enheder i skyen.