Apple wordt binnenkort lid van de "maand van bugs"-club.
op jan. Op 1 januari zullen twee beveiligingsonderzoekers beginnen met het publiceren van details van een stortvloed aan beveiligingsproblemen in de producten van Apple. Hun plan is om de hele maand één bug per dag bekend te maken, zeiden ze dinsdag.
Het project wordt gelanceerd door een onafhankelijke beveiligingsonderzoeker, Kevin Finisterre, en een hacker die bekend staat als LMH, die weigerde zijn identiteit bekend te maken.
Sommige van de bugs "kunnen een aanzienlijk risico vormen", zei LMH in een e-mailinterview. “Andere hebben een lagere impact op de beveiliging. We proberen werkende exploits te ontwikkelen voor elk probleem dat we vinden.”
De twee hackers zijn van plan bugs in de Mac OS X-kernel en in software zoals Safari, iTunes, iPhoto en QuickTime te onthullen, aldus LMH. Sommige van de bugs zullen ook van invloed zijn op versies van Apple's software die is ontworpen om op het Windows-besturingssysteem van Microsoft te draaien, voegde hij eraan toe.
LMH was een van de breinen achter het recente Month of Kernel Bugs-project, dat tekortkomingen aan het licht bracht in de kern van verschillende besturingssystemen. Het is geïnspireerd op een eerder initiatief, de Month of Browser Bugs genaamd, dat in juli van start ging.
Dit nieuwste Apple-project wordt gelanceerd om het bewustzijn van beveiligingsproblemen in de producten van Apple te vergroten en om "zelfvoldaanheid de kop in te drukken", zei Finisterre via e-mail.
Hoewel de Macintosh over het algemeen als veiliger wordt beschouwd dan de Windows-pc, zijn er veel beveiligingen onderzoekers zijn van mening dat deze reputatie niet te danken is aan superieure beveiligingspraktijken van de kant van Appel. Ze zeggen dat aanvallers zijn afgeschrikt door de veiligere Unix-kernel van Mac OS X en de minder wijdverbreide acceptatie van het product.
Apple-enthousiastelingen en beveiligingsonderzoekers zijn het oneens sinds afgelopen augustus, toen David Maynor en Jon Ellch beweerden een fout te hebben ontdekt die van invloed was op Apple's draadloze apparaatstuurprogramma's. Ze speelden een video af op de Black Hat-conferentie waarin werd gedemonstreerd hoe deze fout kon worden gebruikt om ongeautoriseerde code op een MacBook uit te voeren. Hun beweringen zijn echter afgewezen omdat de demonstratie een draadloze kaart van derden gebruikte in plaats van de een die bij de MacBook wordt geleverd, en omdat de twee hackers de code die in hun aanval.
LMH zei dat de negatieve reactie van de Apple-gemeenschap op de beweringen van Maynor en Ellch een rol speelde bij de beslissing om de Month of Apple-bugs te lanceren.
"Ik was geschokt door de reactie van sommige zogenaamde 'Apple-fans'", zei hij. “Ik kan niet begrijpen waarom sommige mensen slecht reageren op het bekendmaken van problemen in hun systeem naar keuze. … Dat helpt om de veiligheid te verbeteren.”
Een soortgelijke poging om fouten in de software van Oracle aan het licht te brengen, moest vorige maand worden opgegeven voordat deze ooit werd gelanceerd. De man achter de Week van Oracle-bugs, Cesar Cerrudo, van Argeniss Information Security, zei dat hij de plug toen duidelijk werd dat het project de relatie tussen een van zijn klanten en Orakel. "Deze klant besefte dat ze ernstige zakelijke problemen hadden kunnen hebben, dus veranderden ze van gedachten en vroegen ze om het te annuleren", zei hij dinsdag via een chatbericht.
LMH zei dat hij geen juridische problemen van Apple verwachtte. "Ik blijf praten met een man van het Apple-beveiligingsteam en ik ben bereid om te helpen wanneer dat nodig is", zei hij. "Ik ben ver weg van elke illegale activiteit."
Apple leek van zijn kant niet boos te zijn op het project. "We zijn altijd blij met feedback over hoe we de beveiliging van de Mac kunnen verbeteren", zegt Anuj Nayar, een woordvoerder van Apple.