Spectre en Meltdown treffen bijna elk apparaat - ook Apple

Veiligheidslekken Meltdown en Spectre zitten in bijna alle apparaten. Oplossingen blijken niet simpel en kunnen tot slechtere prestaties leiden.

Foto Sascha Steinbach/EPA

In navolging van Google, Amazon en Microsoft heeft nu ook Apple toegegeven dat het merendeel van zijn producten getroffen is door veiligheidslekken Meltdown en Spectre. In een mededeling op de website zegt Apple nu dat ook alle macOS- en iOS-apparaten getroffen zijn door de kwetsbaarheden. De Apple Watch is veilig voor het Meltdown-lek.

Eerder deze week kwamen de twee veiligheidslekken van formaat aan het licht. Meltdown en Spectre treffen bijna alle computers en veel andere apparaten in het hart: de processor. Door het lek kunnen kwaadwillenden toegang krijgen tot gevoelige informatie over de gebruikers, zoals inloggegevens.

Hackers kunnen pas toegang krijgen tot dit deel van het geheugen als de gebruiker zelf malafide software installeert. Dit stukje software kan verpakt zijn in een bestaand programma, of binnengehaald worden door bijvoorbeeld op een link te klikken in een phishingmail.

Pleister op de wond

Tegen het Spectre-lek brengt Apple in de komende dagen updates uit. Die worden in webbrowser Safari in macOS en iOS doorgevoerd. Daarmee wordt het lek niet verholpen, maar deze pleister op de wond moet het hackers vooral moeilijker maken om misbruik te maken van de lekken. Daarmee is de bug dus niet verdwenen, die zit immers in de chips ingebakken. In toekomstige software-updates van iOS, macOS en tvOS worden verdere beschermingsmaatregelen genomen, aldus Apple.

Apple raadt aan om alleen software uit betrouwbare bronnen te downloaden, zoals de App Store. Uit Apples verklaring wordt niet duidelijk of oudere apparaten die iOS 11 niet meer ondersteunen ook beveiligd zijn met de meest recente beveiligingsupdate. Apple laat in zijn verklaring verder weten dat ze nog geen virussen hebben ontdekt of andere malware die gebruikmaakt van de kwetsbaarheden.

Android-updates

Ook Microsoft en Google hebben onder aanvoering van Intel al updates verspreid om bescherming te bieden tegen de beveiligingsgaten. Google liet Android-gebruikers - goed voor 80 procent van het smartphone-marktaandeel - weten dat ze beschermd waren als ze de laatste veiligheidsupdates hadden geïnstalleerd.

De updates bieden alleen bescherming tegen de Meltdown-kwetsbaarheid. Van Spectre is moeilijker misbruik te maken, maar er is ook nog geen duidelijke, eenduidige oplossing voor.

Chipmakers AMD, Intel en ARM werden al gewaarschuwd in juni door een collectief dat onderzoek deed naar deze lekken. Sindsdien werkt de sector aan patches. Dit gebeurde in het geniep om te voorkomen dat hackers zelf in actie kwamen om het lek te exploiteren.

Oplossingen zorgen voor slechtere prestaties

Intussen zouden er patches zijn voor Linux, Windows en macOS. Maar ook die zijn niet feilloos. Zo zouden ze de sommige, vooral oudere, getroffen systemen vertragen met 5 tot 30 procent. Doordat de fout in de hardware, de chip, zit, is het probleem alleen met pleistersoftware te verhelpen.

Apple belooft dat de snelheid niet meetbaar achteruitgaat door de updates. Volgens Intel levert een reparatie niet per definitie een merkbare vertraging van de computer op.

“Dat hangt af van de mate waarin de computer belast wordt. Een gemiddelde gebruiker zal geen significant verschil merken en het effect wordt naar verloop van tijd minder.”

    • Bas Tooms