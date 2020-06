Förra veckan kom nyheten att det amerikanska it-säkerhetsföretaget Zecops hittat, och i laga ordning rapporterat till Apple, två buggar i Apples mobila e-post-app i IOS. Så långt är det knappt värt en notis.

Men som vår systerpublikation Macworld skrev i torsdags gick den tyska säkerhetstjänsten Bundesamt für Sicherheit in der Informationstechnik, BSI, ut med minst sagt skarpa varningar till allmänheten om att buggarna (CVE-2020-9818 och CVE-2020-9819) är mycket kritiska och att användarna bör omedelbart uppdatera sina mobila enheter med Apples fix. Notera att det är högste chefen för BSI, Arne Schönbohm, som gått ut med varningarna, inte någon underhuggare.

Kan inte bekräfta angrepp

Zecops vd och grundare Zuk Avraham skriver på Twitter att Apple, när de fick rapporten från Zecops, tog det ganska lugnt. Apple skriver också i ett uttalande att de inte ser dessa sårbarheter, var för sig i alla fall, som speciellt kritiska. Apple kan heller inte bekräfta att det skett angrepp mot någon av deras användare. Zecops, å andra, sidan menar att attacker visst skett mot IOS-användare, åtminstone sedan januari 2018.

Det tar fyra veckor innan Apple släpper en uppdatering. Buggarna finns, absolut, och de ska fixa dem, men de är inte kritiska. Enbart dessa buggar kan inte skada användaren; det krävs mer. Det krävs en stack av attacker, som tillsammans bildar ett cybervapen, för att buggarna ska kunna utnyttjas. Intressant nog säger Apple att det finns tre sårbarheter, inte två. Vad jag kan se har den tredje inte fått en CVE-kod. Håll det i minnet ett tag – det finns tre sårbarheter, inte två, säger Apple.

Samtidigt går det inte att komma ifrån, även om Apple förmodligen har rätt, att det är något speciellt med dessa buggar. När jag ser kombinationen zero-day och zero-click ringer det en klocka. Zero-days, alltså sårbarheter som bara är kända inom en snäv krets, ser vi lite då och då efter att de till slut upptäcks utanför sin snäva krets.

Användaren behöver inte göra något

Zero-clicks betyder att användaren inte behöver göra något, klicka på en länk eller öppna en bilaga, för att attacken ska aktiveras. I detta fall räcker det att användaren använder Apples mail-app och tar emot ett preparerat mejl för att attacken ska köras. Dessa bedömer jag är mer ovanliga.

Men det är kombinationen som luktar, nej stinker, statstrojan – cybervapen som i huvudsak används mot den egna befolkningen, av olika orsaker. Det kan vara att spionera och förtrycka dissidenter och andra för regimen misshagliga element, eller som nu i Sverige (och Tyskland) mot terrorism och organiserad brottslighet. Jag är för tydlighets skull öppet kritisk till dessa metoder och har ventilerat mina åsikter i en tidigare krönika.

Och Zecops är benägna att hålla med. De skriver i ett uttalande att ”vi anser att dessa attacker korrelerar med åtminstone en statssponsrad aktör eller en statsmakt som köpt sårbarheten från tredje part som ett proof-of-concept och använt attacken som den är eller med mindre modifieringar”.

Han är förvånad

Så Apple tycker inte att buggarna är något att hetsa upp sig över, men det tycker BSI. Undrar varför? Jag drar ett par vändor mejl med min kollega i Tyskland. Han är rätt förvånad, och han är inte ensam. Der Spiegel är på bollen också.

Kollegan menar att Arne Schönbohm ibland gör så här för att skapa vågor och påminna allmänheten och regeringen om att han behövs. Schönbohms utspel är förmodligen både tekniskt och politiskt på samma gång.

Nu tänker jag spekulera, men jag tror så här: BSI med Arne Schönbohm i spetsen vet vad dessa buggar kan ställa till med. De, eller någon närstående rättsvårdande myndighet, använder dem själva. Det som hänt är ett klassiskt ”oops!". Det alla vet kan hända är att ett av polisens cybervapen har upptäckts av någon utomstående som har rapporterat sårbarheten till leverantören av det aktuella systemet, Apple.

Tändhatten i bomben

Min information från Tyskland, som jag bedömer som mycket pålitlig, säger att BSI känner till den tredje sårbarheten som Apple nämner i förbifarten, och det är den tredje sårbarheten som är tändhatten i bomben. Alla tre sårbarheter tillsammans skapar en attack mot vilken ”det inte finns något försvar”. BSI var helt enkelt tvungna att gå ut med varningar – anden är ute ur flaskan och nu gäller det att folket patchar. Helst igår.

Så vad händer nu? It-säkerhetsmässigt är det solklart. Eftersom Apples användare inte kommer att uppdatera sina grejer över en natt har nu de cyberkriminella ett fönster de kan använda till att bruka ett toppen-vapen när de ska sno dina inloggningsuppgifter eller skicka ett ransomware till ditt företag.

Zecops är inne på samma spår i sina resonemang: De attacker de sett, eller påstår sig ha sett i det vilda, är riktade mot högprofilerade måltavlor, och det finns ingen anledning till oro bland bredare grupper ”tills sårbarheterna hamnar i händerna på aktörer med mindre ambitiösa mål”.

What goes around, comes around.

