Apple blokkeert WebRTC, WebGL en BMP-afbeeldingen in Lockdown Mode

Apple blokkeert WebRTC, WebGL en BMP-afbeeldingen in Lockdown Mode

De Lockdown Mode waarmee Apple gebruikers van iOS, iPadOS en macOS tegen spyware en andere aanvallen wil beschermen blokkeert naast WebGL en WebRTC ook TIFF-, BMP, JPG 2000 en PDF-afbeeldingen in Safari. Verder blijkt de beveiligingsmaatregel een grote prestatie-impact te hebben op het bezoeken van websites die veel gebruik van JavaScript maken. Dat stelt onderzoeker Russell Graves die de Lockdown Mode in een bètaversie van iPadOS 16 onderzocht.

De Lockdown Mode biedt een extra veiligheidsniveau dat bepaalde functionaliteiten beperkt, wat het aanvalsoppervlak voor aanvallers moet verkleinen. Zo zullen in Lockdown Mode de meeste bijlagetypes voor berichten worden geblokkeerd. Alleen afbeeldingen zijn toegestaan. Verder zullen er ook geen previews meer van links worden getoond. Tijdens het browsen zullen bepaalde webtechnologieën, zoals just-in-time (JIT) JavaScript compilation standaard zijn uitgeschakeld en alleen werken wanneer een gebruiker een website uitzondert van de Lockdown Mode.

Welke browserfeatures en afbeeldingen Apple wel en niet precies toestaat in de Lockdown Mode was onduidelijk. Graves besloot dit te testen en ontdekte dat WebRTC, dat browsers van Real-Time Communicatie (RTC) voorziet, niet meer werkt. Dat geldt ook voor WebGL, gebruikt voor het weergeven van interactieve 2d- en 3d-afbeeldingen. Verder blijken bepaalde HTML5 API’s niet meer te werken.

Standaard ondersteunt Safari het weergeven van de meeste afbeeldingen, behalve XBM, Photoshop, Targa en SGI. Wanneer de Lockdown Mode is ingeschakeld zal de browser ook TIFF, BMP (24-bit), JPEG 2000 en PDF-afbeeldingen niet meer tonen, wat ook geldt voor PDF-bestanden. Die zullen alleen nog te downloaden zijn en niet meer direct in de browser verschijnen. Gebruikers kunnen echter wel uitzonderingen voor websites maken.

Daarnaast keek Graves ook naar de impact van de Lockdown Mode op het laden van websites. Dan blijkt dat met name websites die veel van JavaScript gebruikmaken een stuk trager werken, wat komt door het uitschakelen van just-in-time (JIT) JavaScript compilation. De beveiligingsvoordelen van de Lockdown Mode zijn echter zo groot dat Graves iedereen met een ondersteunde versie van iOS, iPadOS en macOS adviseert om de maatregel in te schakelen. De Lockdown Mode verschijnt in iOS 16, iPadOS 16 en macOS Ventura.

Bron: https://www.security.nl/posting/761965/Apple+blokkeert+WebRTC%2C+WebGL+en+BMP-afbeeldingen+in+Lockdown+Mode?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.