Apple-ledere fort alte ikke brukerne om et hack på 128 millioner iPhones i 2015, ifølge en ny rapport.
Hacket ble først avdekket da Apple-ansatte begynte å se på ondsinnede App Store-apper, ifølge Ars Technica. Til slutt fant selskapet 2500 skadelige apper som var lastet ned 203 millioner ganger.
Nyhetene om at Apple visste om hackingen kom nylig under Epic Games’ pågående søksmål. En e-post inn i retten viser at ledere var klar over problemet. "…På grunn av det store antallet kunder som potensielt er berørt, ønsker vi å sende en e-post til dem alle?" Matthew Fischer, visepresident for App Store, skrev i e-posten. Hackene ble imidlertid aldri offentliggjort av Apple.
De ondsinnede appene ble utviklet med en forfalsket kopi av Apples iOS- og OS X-apputviklingsverktøy, Xcode. Den falske programvaren la skadelig kode sammen med vanlige appfunksjoner.
Når koden var installert, slapp iPhone-ene ut av eiernes kontroll. iPhone-ene kommuniserte med en ekstern server og avslørte enhetsinformasjon, inkludert navnet på den infiserte appen, identifikatoren for app-pakken, nettverksinformasjon, enhetens "identifikator for leverandør"-detaljer og enhetsnavnet, typen og den unike identifikatoren, rapporterte Ars Technica.
Observatører var kritiske til Apples beslutning om ikke å informere brukere om hacket.
Det virker som om de fryktet offentlig forargelse og tilbakeslag mer enn å stå frem og fortelle kundene om potensielle risikoer.
"Nøkkelen her for Apple er å tydelig skissere virkningen for sluttbrukeren og ikke bare sende ut et teknisk varsel og oppdatering som er innebygd i deres utgivelsesnotater," Setu Kulkarni, en visepresident i cybersikkerhetsfirmaet WhiteHat Security, sa i et e-postintervju.
Hackene fremhever potensielle sikkerhetsproblemer med apper, sa Dirk Schrader, en visepresident i cybersikkerhetsfirmaet New Net Technologies, i et e-postintervju.
"Både store appbutikker, Googles Play Store, så vel som Apples, er i hovedsak en stor distribusjonsplattform for skadelig programvare hvis den ikke administreres godt," la han til. "Denne e-posten, og Apples beslutning om ikke å informere kunder og publikum, viser hva det betyr. Ser ut til at de fryktet offentlig forargelse og tilbakeslag mer enn å stå frem og fortelle kundene om de potensielle risikoene som er involvert."
