Apple: Lockdown Mode har endnu stoppet alle kendte “mercenary spyware”-angreb

Apple genopfrisker budskabet om Lockdown Mode

Apple fremhæver igen sin Lockdown Mode som et værn mod de mest avancerede digitale angreb – især såkaldt “mercenary spyware”, der typisk forbindes med målrettet overvågning af journalister, aktivister, politikere og andre højrisikopersoner. Ifølge nye udtalelser gengivet af TechCrunch siger Apple, at selskabet fortsat ikke har set et tilfælde, hvor Lockdown Mode er blevet omgået via et kendt zero-day-angreb fra denne type spyware.

Det er en markant – og relativt sjælden – formulering fra Apple: Ikke bare at funktionen “hjælper”, men at man ikke har observeret en succesfuld kompromittering, når Lockdown Mode er aktiv. Samtidig er det vigtigt at læse sætningen præcist: “ikke set” er ikke det samme som “umuligt”.

Hvad Lockdown Mode egentlig er (og ikke er)

Lockdown Mode blev introduceret i 2022 med iOS 16, iPadOS 16 og macOS Ventura og findes stadig i de aktuelle versioner af iOS/iPadOS og macOS. Funktionen er designet til en meget snæver målgruppe, hvor risikoen for målrettede angreb er højere end det, almindelige brugere typisk udsættes for.

Når Lockdown Mode er slået til, reduceres angrebsfladen ved at begrænse eller deaktivere specifikke funktioner, der ofte udnyttes i avancerede exploit-kæder. Det kan f.eks. være strammere håndtering af beskeder og vedhæftninger, begrænsninger i webteknologier og andre områder, hvor en “smart” funktion også kan blive en “smart” indgang for angribere.

Det betyder også, at Lockdown Mode kan føles som en iPhone/Mac på slankekur: nogle bekvemmeligheder ryger med, fordi sikkerhedsmarginen skal op.

Zero-days, spyware og Apples præcise formulering

En zero-day er en sårbarhed, som leverandøren ikke kender til (eller ikke har nået at patche), når den bliver udnyttet. “Mercenary spyware” er typisk kommercielle overvågningsværktøjer solgt til statslige eller statslignende kunder og er kendt for at bruge dyre, komplekse exploit-kæder – ofte netop zero-days – for at få adgang til enheder uden brugerens viden.

At Apple siger, at man ikke har set en vellykket omgåelse af Lockdown Mode via denne kategori af angreb, skal tolkes som en kombination af to ting: Dels at det hæver omkostningen for angriberen betydeligt, dels at Apple mener at have ret god telemetri, intern rapportering og eksterne indberetninger (forskere, CERT-miljøer m.fl.) til at opdage mønstre.

Men “ikke set” efterlader naturligt et hul: Angreb kan være uopdagede, underrapporterede eller målrettet så snævert, at de ikke dukker op i Apples kendskab. Sikkerhed er statistik, ikke absolutter.

Hvorfor det betyder noget – også hvis du ikke er i målgruppen

Lockdown Mode er et ekstremt eksempel på en sikkerhedsstrategi, Apple i stigende grad bruger: at gøre platformen sværere at angribe ved at skære i den mest risikable funktionalitet, når situationen kræver det. Det er interessant, fordi det flytter diskussionen fra “har vi patchet alle huller?” til “kan vi designe os ud af hele klasser af angreb?”.

For almindelige brugere ændrer det ikke anbefalingen: du får stadig mest sikkerhed for pengene ved at opdatere dine enheder hurtigt, bruge stærke adgangskoder/Passkeys, aktivere tofaktorgodkendelse og være skeptisk over for links og vedhæftninger. Lockdown Mode er ikke en magisk skjold-knap for alle – og det skal den heller ikke være.

Pro TipTjek om Lockdown Mode er relevant for dig: Gå til Indstillinger > Anonymitet og sikkerhed > Lockdown-tilstand, og gennemgå Apples liste over begrænsninger—hvis det rammer din daglige brug hårdt, er det et tegn på, at målgruppen nok ikke er “alle”.

Min vurdering

Det mest interessante her er ikke, at Apple siger “alt er sikkert” – for det siger Apple faktisk ikke. Det interessante er, at Lockdown Mode tilsyneladende tvinger nogle af de mest ressourcestærke angribere til at ændre taktik eller skrue op for kompleksiteten. I en verden hvor en enkelt zero-day kan være millioner værd, er det en konkret succes, hvis en platform kan gøre angreb for dyre eller for ustabile til at være praktiske.

Men vi skal passe på med at gøre Lockdown Mode til en generel målestok for sikkerhed. For de fleste handler truslen stadig om kontoovertagelse, phishing og genbrugte passwords – ikke statsstøttet spyware. Apples udmelding er derfor bedst læst som: “Hvis du reelt er i højrisikokategorien, har vi et værktøj, der ser ud til at virke efter hensigten.”

Hvad du skal holde øje med

To ting: For det første om sikkerhedsforskere (eller myndighedsrapporter) på et tidspunkt dokumenterer et angreb, der omgår Lockdown Mode – det vil være et vendepunkt, og Apple vil typisk reagere hurtigt. For det andet om Apple udvider konceptet til mere granulære “høj-sikkerhedsprofiler”, så flere kan få ekstra beskyttelse uden at betale med hele oplevelsen.