iTunes har haft ett "öppet hål" i 3 år

[xeric]

Men, så här får det väl ändå inte gå till? Man blir ju både arg och besviken. Trodde jag aldrig.

 

Apple iTunes flaw 'allowed government spying for 3 years'

 

Apple was informed about the relevant flaw in iTunes in 2008, according to Brian Krebs, a security writer, but did not patch the software until earlier this month, a delay of more than three years.

“A prominent security researcher warned Apple about this dangerous vulnerability in mid-2008, yet the company waited more than 1,200 days to fix the flaw,” he said in a blog post.

"The disclosure raises questions about whether and when Apple knew about the Trojan offering, and its timing in choosing to sew up the security hole in this ubiquitous software title."

 

"The security and privacy of our users is extremely important,” a spokeswoman said.

 

This month's iTunes update 10.5.1 explained that "a man-in-the-middle attacker may offer software that appears to originate from Apple", adding that the "issue has been mitigated".

 

Mmm.. "Extremt viktigt" var ordet.

 

 

Tycker nog allt att det finns en svag doft av "skandal".

[Radiozo]

Så stort problem kan det inte ha varit. Har inte läst ngt om att folk haft problem med säkerheten i Itunes.

[Raphael]

På vilket sätt menar du att amerikanska myndigheter har använt iTunes för att spionera? Och vad skulle intentionen vara bakom ett spionprogram med iTunes som främsta verktyg?

[xeric]

På vilket sätt menar du att amerikanska myndigheter har använt iTunes för att spionera? Och vad skulle intentionen vara bakom ett spionprogram med iTunes som främsta verktyg?

Nä, men så stod det väl inte nånstans? Engelska "The Telegraph" hade det som rubrik på sin artikel (Apple iTunes flaw 'allowed government spying for 3 years'). Det var väl inte direkt riktat mot "Amerikanska" myndigheter mer än att företaget Gamma International gjort en mjukvara ("FinFisher") som i a f har använts av Brittiska myndigheter (och erbjuden till Egyptiska polisen). Även Tyska...

 

A British company called Gamma International marketed hacking software to governments that exploited the vulnerability via a bogus update to iTunes, Apple's media player, which is installed on more than 250 million machines worldwide.

The hacking software, FinFisher, is used to spy on intelligence targets’ computers. It is known to be used by British agencies and earlier this year records were discovered in abandoned offices of that showed it had been offered to Egypt’s feared secret police.

 

 

Men just det att det upptäcktes redan 2008, och att det faktiskt tog (mer än) 1.200 dagar/3år innan dem fixade det. Inte likt Apple alls. Är ju bara att jämföra med senaste grejjen där med webcertifikaten... tog väl en månad ungefär, så kom det en fix sen - och då tyckte man att det var "lite långsamt" eftersom de andra webläsarna redan hade släppt sina lösningar.

 

Apple was informed about the relevant flaw in iTunes in 2008, according to Brian Krebs, a security writer, but did not patch the software until earlier this month, a delay of more than three years.

 

“A prominent security researcher warned Apple about this dangerous vulnerability in mid-2008, yet the company waited more than 1,200 days to fix the flaw,” he said in a blog post. (<<--- står mer om FinFisher och hur/vad den gjorde där)

 

"The disclosure raises questions about whether and when Apple knew about the Trojan offering, and its timing in choosing to sew up the security hole in this ubiquitous software title."

 

Francisco Amato, the Argentinian security researcher who warned Apple about the problem suggested that "maybe they forgot about it, or it was just on the bottom of their to-do list".

In response to reports that FinFisher targeted iTunes, Apple has said that it works "to find and fix any issues that could compromise systems".

 

 

 

Det var väl inte iTunes som var "verktyget", utan hålet i iTunes som gjorde att dem kunde installera sin trojan. Stod mer om det i bloginlägget som länkades från artikeln.

 

The Wall Street Journal this week ran an excellent series on government surveillance tools in the digital age. One story looked at FinFisher, a remote spying Trojan that was marketed to the governments of Egypt, Germany and other nations to permit surreptitious PC and mobile phone surveillance by law enforcement officials. The piece noted that FinFisher’s creators advertised the ability to deploy the Trojan disguised as an update for Apple’s iTunes media player, and that Apple last month fixed the vulnerability that the Trojan leveraged.

http://krebsonsecurity.com/2011/11/apple-took-3-years-to-fix-finfisher-trojan-hole/

 

 

Så det är klart man sitter och undrar lite över vad som är värst. Att de fick informationen 2008 och inte gjorde något förräns nu..? Eller om de inte visste om den, att det tar 3 år längre för Apple att hitta det andra hittar. Och det är klart, man undrar ju lite också - ifall de nu visste om hålet - så måste de väl också vetat om hur det har använts (statlig övervakning). Låter lite som "ett tyst godkännande" av det, om man skall se riktigt krasst på det. Känns lite kymigt. Eller?