Toen Apple afgelopen zondag plotseling een noodpatch voor een beveiligingslek in iOS uitbracht gingen er bij diverse securityspecialisten alarmbellen rinkelen over dezelfde bug die in OS X rondwaarde. Update voor iOS versie 7.0.6 bevatte een "fix voor SSL-verbindingsverficatie" die direct naar alle gebruikers van iPhones en iPads werd gepusht.

De noodklok van stal gehaald

De securitycommunity pikte de summiere uitleg van Apple op voor nadere inspectie en constateerde dat versies van OS X tot en met versienummer 10.9.1 met hetzelfde lek kampen. Door de kwetsbaarheid konden man-in-the-middle aanvallen worden geplaatst die met valse certificaten versleuteld verkeer onderscheppen en uitlezen. Naast gebruikers van Safari liepen ook users van onder andere de Apple Update, Mail en de Twitter app risico en was het wachten op een ramp.

In een blog op zustersite Computerworld.com verbaasde de vooraanstaande beveiliger Kenneth van Wijk zich over het amateurisme bij Apple. "Waarom wordt door het iOS en OS X team niet tegelijkertijd een patch uitgebracht? Zou het kunnen zijn dat de securityteams niet goed met elkaar samenwerken?", vraagt hij zich af.

'Gat? Hoezo gat?'

Apple speelt ondertussen de onschuld zelve. In update 10.9.2 wordt gerept over verbeteringen aan Facetime, Mail, iMessages en staat officieel de SSL-fix niet vermeld, terwijl deze wel is doorgevoerd.