Apple har lagt ut store oppdateringer til praktisk talt alle sine enhetstyper. Datasikkerhet er i fokus. Hvis man sluntrer unna oppgraderingene, kan man i verste fall risikere å bli utsatt for spionprogramvare, ifølge enkelte sikkerhetseksperter.
Apple-brukere som har mye Apple-utstyr, hjemme eller på jobben, har hatt det travelt de siste dagene. Apple-oppdateringene som kom 13. februar 2022 var ledsaget av sterke anbefalinger om å installere dem, begrunnet med at de inneholdt viktige sikkerhetsforbedringer. Dét er riktignok et argument som brukes ofte for å få oss til å oppgradere, men denne gang kan det ha vært påtrengende nødvendig. De som ennå ikke har oppgradert, bør derfor skynde seg å gjøre det.
Ifølge amerikanske Macworld inneholder macOS Ventura-oppdateringen blant annet tre sikkerhetsoppdateringer, der minst en av dem skal ha blitt aktivt utnyttet via WebKit, motoren i nettleseren Safari.
Jeg for min del har de siste par dagene oppdatert tre Mac-er, to iPad-er, tre iPhone-er, tre AppleTV-er og et par Apple Watch-er. Det viste seg at det var kommet oppdateringer til alle, også til noen av dem jeg egentlig har pensjonert.
Spionprogramvare?
I sikkerhetsmiljøer spekuleres det nå på om det kan ha vært sikkerhetsmessige svakheter i Apples operativsystemer som ikke bare har vært en mulig trussel mot brukernes sikkerhet, men som faktisk også kan ha blitt utnyttet. Nettstedet Intego, som kaller seg selv The Mac Security Blog – Sikkerhetsbloggen for Mac – er i ferd med å klargjøre en rapport der de hevder at tidligere OS-versjoner fra Apple er blitt hacket og deretter misbrukt ved hjelp av spion-programvaren Pegasus – eller tilsvarende programvare fra en annen leverandør. Det store spørsmålet er om også macOS Ventura og iOS kan ha hatt en lignende sikkerhetsbrist.
Pegasus-programvaren er utviklet av israelske NSO Group, som markedsfører den overfor andre lands etterretningstjenester og politimyndigheter. Selskapet ble etablert i 2010. Siden programvaren er definert som våpen, må kjøperne godkjennes av den israelske regjeringen. Kundene er regjeringene i et antall land, ifølge Wikipedia.
Problemet er at det ryktes at Pegasus kan ha blitt misbrukt til ulovlig politisk overvåkning. Blant annet skal et antall franske regjeringsmedlemmer intetanende ha fått installert Pegasus-programvaren på mobiltelefonene sine for halvannet år siden, ifølge den britiske avisen The Guardian, med nettstedet Mediapart som kilde. Pegasus-programvaren gjør det blant annet mulig å drive avlytting av mobiler. Til og med president Emmanuel Macrons navn er blitt nevnt i forbindelse med denne saken.
«Aktivt utnyttet»
I Apples kunngjøring av oppdateringene refereres det til en rapport som Apple er blitt kjent med. Rapporten handler om en såkalt nulldagssårbarhet som kan ha blitt aktivt utnyttet, ifølge Apple.
Nulldagssårbarhet er et begrep som brukes om en mulig feil i programvare som er ute og som en hacker kan utnytte før programvareutviklerne har rukket å reparere feilen. For eksempel sendte Nasjonal sikkerhetsmyndighet – NSM – i mai 2022 ut et varsel om en nulldagssårbarhet i Microsoft Windows som også kunne berøre brukere her til lands.
Intego har sendt en forespørsel til Apple om mer informasjon om nulldagssårbarheten, men har i skrivende stund ikke fått noe svar. Nettstedet forventer heller ikke å få noe svar. Isteden blir Apple beskyldt for både å være treg på oppdatering av sikkerhetstrusler og heller ikke særlig åpen om dem.
Spørsmålene fra Intego dreier seg om sårbarheten som er oppdaget, også berører tvOS og watchOS samt tidligere versjon av iOS og iPadOS.
Her er oppdateringene
De oppdateringene som Apple har lagt ut nå, er følgende:
- macOS Ventura 13.2.1
- iOS 16.3.1
- iPadOS 16.3.1
- tvOS 16.3.2
- homePod 16.3.2
- Safari 16.3.1 for MacOS Monterey og MacOS Big Sur
Det betyr at alle som har Mac, iPhone og iPad, bør sjekke om det ligger en oppdatering og venter. Mac-er som kjører litt eldre OS-versjoner får sikkerhetsoppdateringen gjennom nettleseren isteden, altså Safari 16.3.1.
For Apple TV og HomePod gjelder oppdateringene først og fremst talestyringen Siri, ifølge Apple. HomePod oppdateres gjennom Apple Hjem-appen på iPhone.
Ikke-oppdaterbare Mac-er
Som andre teknologileverandører legger heller ikke Apple opp til at produktene deres skal kunne brukes til evig tid. Det er både tidkrevende og dyrt å påse at nye utgaver av operativsystemer, drivere og annen programvare skal kunne fungere med teknologi som etter hvert begynner å bli gammel og utdatert.
I likhet med andre som har brukt Apple-produkter i mange år – jeg har brukt Mac fast siden 1987, om enn tidvis parallelt med Windows-maskiner – har jeg Mac-er og andre Apple-enheter i kott og bokhyller som ikke kan kjøre nyeste operativsystem. For eksempel en MacBook Air fra 2011 som bruker MacOS High Sierra 10.13.6 og en 12-tommer MacBook fra 2015 som kjører Mac Big Sur 11.7.3.
Da jeg slo på sistnevnte denne uka, ba den om å få bli oppgradert til macOS Big Sur 11.7.4. Apple anbefalte oppdateringen av sikkerhetsgrunn, sto det på skjermen. Det dreide seg om en ganske stor oppgradering angitt til 2,18 GB. Det tok riktignok bare vel to og et halvt minutt å laste ned oppgradering, men selve installeringen gikk uhyre tregt. Men så var da også dette en ganske svak MacBook.
Det gikk så tregt at jeg etter installasjonen satte maskinen tilbake i bokhylla, der den skal få fortsette å være museumsgjenstand. Det er nok det den egner seg best for nå. Men hvis noen skulle starte den opp og koble den til nettverket, gjør den forhåpentlig ikke noen skade, ettersom den er sikkerhetsoppdatert. For Big Sur 11.7.4 inngår også i Apples sikkerhetsoppdateringer i denne runden.
(Bare nevnt i parentes er det mulig å oppdatere en del Mac-er til nyere operativsystem-versjoner enn Apple har lagt opp til. Men det krever spesialist-programvare og innfløkte installasjonsrutiner som Apple neppe er særlig glad i.)
Konklusjon
Med dette tror jeg at jeg har gjort mitt i denne omgang for å bidra til at noen flere sørger for å sikkerhets-oppgradere Apple-enhetene sine. Lykke til!
