iOS 8 zet deur open voor nieuwe bedreigingen

De grootste aankondiging die Apple maandagavond deed, was zonder twijfel het nieuwe open karakter van iOS 8.

“iOS 8 laat ontwikkelaars toe om de gebruikservaring verder aan te passen met grote uitbreidingsmogelijkheden, zoals de widgets in het notificatiecentrum en ondersteuning voor toetsenborden van externe ontwikkelaars. Het introduceert ook robuuste frameworks zoals HealthKit en HomeKit,” schrijft Apple in een persbericht.

[related_article id=”158256″]

De widgets in het notificatiecentrum kunnen ook vanaf het ontgrendelscherm worden geraadpleegd en met HomeKit kan je Siri bijvoorbeeld vragen om de lichten uit te doen, de deuren te vergrendelen en de thermostaat in te stellen.

Dat opent uiteraard nieuwe mogelijkheden voor ontwikkelaars, met name voor hen die zich bezighouden met het internet der dingen. Maar…

Door communicatie tussen apps mogelijk te maken in iOS 8, inclusief communicatie met apps die externe netwerktoestellen beheren, en door meer interactie op het ontgrendelscherm toe te laten – wanneer het toestel nog altijd vergrendeld is – maakt Apple het zogenaamde aanvalsoppervlak van iOS aanzienlijk groter.

Er zijn met andere woorden meer potentiële wegen voor een aanvaller om in het toestel te raken en dat betekent dat er meer moet worden getest om er zeker van te zijn dat het grotere aanvalsoppervlak naar behoren wordt verdedigd.

Apples uitdaging wordt nog moeilijker gemaakt door twee andere factoren. Ten eerste zal er onvermijdelijk een explosie zijn van geïnspireerde ontwikkelaars die snel gebruik willen maken van de nieuwe functies in iOS. Ten tweede zullen iOS-toestellen een nog aantrekkelijker doelwit worden voor aanvallen door de toename in nieuwe persoonlijke gegevens die worden bewaard via HealthKit (gezondheid) en HomeKit (woning).

Eén mitigerende factor is alvast Apples nieuwe programmeertaal Swift, die eveneens maandag werd aangekondigd. Apple heeft Swift ontworpen om heel wat onveilige code achterwege te laten. Variabelen worden altijd geïnitialiseerd voor gebruik, arrays en integers worden gecontroleerd op overflow en het geheugen wordt automatisch beheerd.

Swift is een goede zet, op voorwaarde dat het werkt zoals geadverteerd, maar het gebruik ervan wordt door Apple niet verplicht. Er zal in de toekomst nog altijd heel wat minder veilige code in Objective-C draaien op iPhones en iPads, tot Apple uiteindelijk zou beslissen om die programmeertaal af te schaffen. Maar dat zal niet voor meteen zijn.

Op veel kortere termijn zullen we dit nieuwe, opener iOS het doelwit zien worden van meer aanvallen. De vraag is dan of Apple zich heeft ontdaan van de problemen die onder meer aan de basis lagen van het kritieke SSL-lek in OS X dat lange tijd ongedicht bleef. De voornaamste kritiek was toen dat Apple dringend van mentaliteit moet veranderen en dergelijke beveiligingsproblemen moet erkennen in plaats van ze dood te zwijgen. Is Apple sindsdien veranderd? Ik hoop van wel, want als dat niet het geval is, zullen er in de toekomst nog heel wat problemen volgen. Dan is Apples ommuurde tuin lang zo mooi niet meer.