Er was een korte periode dat het leek alsof gebruikers van mobiele telefoons waren vrijgesteld van de problemen die computergebruikers ondervonden. Het was immers lang geleden dat een telefoonverkoper Intel-chips in elk product had gebruikt, dus er was niets voor de Apple-fanboys of de Android-klanten om zich zorgen over te maken.

Dat veranderde allemaal toen bleek dat er twee defecten aan de processor waren en de tweede, Spectre, het meest beslist de ARM-chips beïnvloedde - wat vrijwel elke telefoon en tablet betekende.

Wat daarna volgde, was bijna een masterclass over hoe geruchten werden verspreid en hoe desinformatie kon worden verspreid. Allereerst moet eraan worden herinnerd dat deze kwetsbaarheid zeven maanden geleden werd geïdentificeerd en gemeld en dat deze tot volgende week niet was onthuld (toevallig in een week dat de techwereld zich had teruggetrokken naar Las Vegas voor CES en die vervelende tech-journalisten. anders zou worden bezet).

Maar dan was er ook de onzekerheid over wat Spectre voor gebruikers betekende en de contrasterende berichten, aan de ene kant werd verteld dat het was dat het erger was dan Meltdown omdat het niet zo gemakkelijk was om er fixes op aan te brengen; en, aan de andere kant, hoe het niet zo erg was omdat het niet iets was dat kon worden uitgebuit door een scriptkiddie die alleen werkte, maar die door de staat gesponsorde teams in de zaak nodig had.

En volgens Zimperium beveiligingsadviseur, Adam Donenfeld, zijn de gevaren voor individuele gebruikers beperkt. “Spectre is in wezen een beveiligingslek met betrekking tot het vrijgeven van informatie. Hoewel het mogelijk is om informatie te stelen met behulp van dat beveiligingslek, is het stelen van een specifiek gericht stuk informatie niet zo eenvoudig als het lijkt,” hij zei.

Hij wees erop dat er al bescherming beschikbaar was. “Vanaf nu kan de gemiddelde gebruiker wachten of een beveiligingsoplossing van derden installeren. Het is duidelijk dat dit een nieuwe klasse van kwetsbaarheden is die we nog moeten zien, dus er is misschien meer aan de hand. Maar een aankomende patch zal de bekende problemen met betrekking tot die klasse van bugs oplossen.”

Dat wil niet zeggen dat de kwetsbaarheden niet zorgelijk zijn voor gebruikers. Veel Apple-gebruikers, of het nu om telefoons of computers gaat, geloofden al lang dat hun apparaten beveiligd zijn tegen elke vorm van aanval, dus het nieuws dat hun telefoons kwetsbaar waren om aan te vallen - hoewel Apple een verklaring uitsprak waarin stond dat het bedrijf zou reageer op de kwetsbaarheid van Spectre. Volgens de bedrijfsverklaring, “Apple zal de komende dagen een update voor Safari op macOS en iOS uitbrengen om deze exploit-technieken te verzachten. We blijven doorgaan met het ontwikkelen en testen van verdere mitigaties binnen het besturingssysteem voor de Spectre-technieken en zullen deze vrijgeven in aankomende updates van iOS, macOS en tvOS. watchOS wordt niet beïnvloed door Spectre.”

Het was niet alleen Apple, maar een van de problemen waar gebruikers zich zorgen over maakten, was wat er gebeurde met chips die ARM aan het maken was voor andere leveranciers, zoals Qualcomm. Het bedrijf plaatste ook een verklaring om klantangsten te verzachten. “Het leveren van technologieën die robuuste beveiliging en privacy ondersteunen, is een prioriteit voor Qualcomm en als zodanig hebben we met ARM en anderen samengewerkt om de impact te beoordelen en verzachtende maatregelen voor onze klanten te ontwikkelen. We zijn bezig met het implementeren van deze beperkende maatregelen voor onze klanten en moedigen mensen aan hun apparaten bij te werken wanneer er patches beschikbaar komen.”

hype

Met dergelijke uitspraken is het duidelijk dat de leveranciers geprobeerd hebben om de zorgen van de gebruikers te lenigen. Volgens Donenfeld hebben de fabrikanten zorgen die verder gaan dan de technische problemen. “Ik denk dat mobiele leveranciers niet zo bezorgd zijn over de impact, maar eerder over de hype erachter: kwetsbaarheden bij het vrijgeven van informatie zijn niet nieuw. Uiteindelijk is het slechts een eenvoudige patch die deze bugs oplost, net als andere kwetsbaarheden. Een van de problemen hier is echter dat de kwetsbaarheid (en sommige PoC's) werden vrijgegeven voordat een patch werd geïnstalleerd. Maar die kwetsbaarheden vereisten meer kwetsbaarheden om mee te ketenen, om een ​​volledig compromis van het apparaat te bereiken.”

De aflevering heeft echter één ding gedaan, maar het heeft de aandacht van mobiele gebruikers gevestigd op de kwetsbaarheid van hun apparaten. Hoewel gebruikers (over het algemeen) ijverig zijn over het updaten van pc's en het installeren van antivirussoftware, zijn er niet dezelfde inspanningen gedaan op mobiele apparaten: zou de Spectre-fout dit kunnen veranderen? Donenfield is vrijblijvend: “Ik hoop het. Maar Spectre is niet anders en werpt geen licht op hoe gebruikers hun telefoons bekijken: een beveiligingsoplossing voor mobiele apparaten was al eerder nodig en is ook na deze patch nodig.”

Dat wil niet zeggen dat, een week nadat Spectre voor het eerst werd gerapporteerd, de industrie de zaken niet kon verbeteren. Het feit dat nieuws over kwetsbaarheid werd gelekt en openbaarmaking niet goed werd afgehandeld, is nog steeds controversieel. Donenfeld vindt dat het beter had kunnen worden afgehandeld “Ik denk dat er geen verantwoordelijke onthulling was. Het feit dat de kwetsbaarheidsdetails, evenals PoC's, werden vrijgegeven voordat bepaalde vlaggenschipinrichtingen waren gepatcht, impliceert miscommunicatie tussen de onthullende partij en de verkopers.”

En het is waarschijnlijk dat deze punten zijn genoteerd en de lessen zeker zijn geleerd - het bewijs zal zijn wanneer het daarna gebeurt - we zullen beter voorbereid zijn: zullen we niet?

  • Beste mobiele deals in januari