, 2021/9/29
Az Apple figyelmen kívül hagyta a biztonsági hibákat, és a fejvadászok, akik megtalálták őket. Apple lenézte a biztonsági hibákat megtaláló kutatókat, most válaszol
Az Apple már régóta hirdeti a visszajelzésekre való nyitottságát, amikor a kiberbiztonsági védelmének csúcsminőségű szinten tartásáról van szó, sőt, még a régóta futó bug bounty programját is népszerűsíti - nagyszerű jutalmakat ígérve mindenkinek, aki potenciális problémákat hoz napvilágra. Végül is az Apple büszke arra a hírnevére, hogy rendkívül nagy hangsúlyt fektet termékei felhasználóinak biztonságára és kiberbiztonságára.
Úgy tűnik azonban, hogy a cupertinói székhelyű vállalat nem mindig tartotta be a fejvadász biztonsági kutatóknak tett ígéreteit, és gyakran nem adta meg az elismerést ott, ahol az megillette. Az Apple nem csak, hogy nem fizette ki a fejpénzt a különböző, a fejpénzprogram kritériumainak teljes mértékben megfelelő hibák felfedezéséért, de eddig több olyan eset is előfordult, amikor az Apple kiberbiztonságát veszélyeztető nulladik napi hibákkal kapcsolatos kritikus információkkal jelentkeztek, de azokat újra és újra szemérmetlenül figyelmen kívül hagyták.
Az egyik ilyen megvetett kutató Denis Tokarev, aki nemrég három különböző nulladik napi hibára hívta fel az Apple figyelmét az iOS 15-ben. Aki nem ismeri, bármennyire is úgy hangzik, mint egy kémfilmes kifejezés, a nulladik nap egyszerűen egy olyan szoftveres sebezhetőség, amely csak most vált ismertté, aminek következtében a fejlesztőjének "nulla napja" van a javításra, miután tudomást szerzett róla.
Az Apple hónapokig süketelt, több sebezhetőséget nem javított ki, még azután sem, hogy tájékoztatták őket. Természetesen, mivel az iOS 15-öt nemrég adták ki hivatalosan - szeptember 20-án -, aligha lehetett elvárni, hogy már a kezdetektől fogva száz százalékosan tökéletes legyen. Az Apple azonban meglehetősen felelőtlenül figyelmen kívül hagyta Tokarev megnyilatkozásait, az elmúlt egy hónapban teljesen sötétben tapogatózott, és a sebezhetőségeket eddig bő hat hónapon keresztül nem javította ki.
A Vice jelentése szerint Tokarev már márciusban és áprilisban felfedte a sebezhetőségeket az Apple előtt (mivel azok az iOS 14-ben is jelen voltak), de augusztus 25-e óta nem kapott további választ vagy intézkedést az Apple-től. Megunva a várakozást, Tokarev szeptember 13-án figyelmeztette a vállalatot, hogy élőben is közli az összes részletet, ha az továbbra is figyelmen kívül hagyja őt.
Az Apple figyelmen kívül hagyta a biztonsági hibákat, és a fejvadászokat, akik megtalálták őket. Az Apple végül válaszolt Tokarevnek, miután közzétette a nulladik napi exploitot, hogy mindenki láthassa. Még mindig nem kapott választ, és végül közzétette a nulladik napi sebezhetőségek részleteit, beleértve az összes szükséges forráskódot ahhoz, hogy könnyedén kihasználhassa azokat, és nulladik napi támadást indíthasson, ha bármely rosszindulatú fél úgy dönt, bármelyik iPhone-on, amelyik frissített az iOS 15-re.
Miután Tokarev nyilvánosságra hozta az információkat, az Apple végül úgy döntött, hogy itt az ideje reagálni. Egy e-mailben, amelyet a Motherboard (a Vice tech deskje) megerősített, hogy az Apple saját szervereiről érkezett, a vállalat visszaírt, bocsánatot kért, és a jelek szerint további időt húzott: "Láttuk az ezzel a problémával kapcsolatos blogbejegyzését és a többi jelentését. Elnézést kérünk a késedelmes válaszadásért" - írja az Apple. "
Szeretnénk tudatni Önnel, hogy még mindig vizsgáljuk ezeket a problémákat, és azt, hogy hogyan tudjuk kezelni őket az ügyfelek védelme érdekében. Még egyszer köszönjük, hogy időt szánt arra, hogy jelentse nekünk ezeket a problémákat, nagyra értékeljük a segítségét. Kérjük, tudassa velünk, ha bármilyen kérdése van."
A kommunikáció és a cselekvés ilyen mértékű elmulasztása messze nem normális.
Katie Moussouris amerikai kiberbiztonsági szakértő csatlakozott a vitához, és aggodalmának adott hangot, hogy öt évnyi tapasztalat után, amikor egy bug bounty programot vezetett, az Apple részéről az ilyen szakszerűtlen viselkedés ebben a helyzetben "nem normális, és nem is szabad normálisnak tekinteni". Az ember azt gondolná, hogy [az Apple] bug bounty programja a legegészségesebb az összes bug bounty program közül, hiszen egymillió dollárt kínálnak fel fődíjként. De ez egyáltalán nem így van.
"A bug bounties és a sebezhetőségek közzétételi programjai olyanok, mint egy kert" - folytatja Moussouris a Motherboardnak adott interjújában. "Valójában karbantartani kell őket, gyomlálni kell a kertet. Meg kell szabadulnod a nem kívánt és felesleges késedelmektől a folyamatodban, mert ezek olyanok, mint a gyomok, időt és erőforrásokat vesznek el."
Mit jelent ez a három sebezhetőség?
A három hiba, amelyek legalább március óta jelen vannak az iOS 14 és 15 rendszert futtató iPhone-okban, a "Gamed 0-day", a "Nehelper Enumerate Installed Apps 0-day" és a "Nehelper Wifi Info 0-day" neveket viselik. A 9to5Mac által részletezettek szerint ezek a következő kockázatokat hordozzák az iPhone-felhasználók számára, amíg nem javítják őket:
A Gamed 0-day lehetővé teszi bármely App Store alkalmazás számára, hogy jogosulatlanul hozzáférjen a felhasználó Apple ID e-mail címéhez és teljes nevéhez, valamint az 1) Mail, 2) SMS, 3) iMessage és 4) egyéb, harmadik féltől származó üzenetküldő alkalmazásokból származó névjegyzékéhez, az egyes ilyen névjegyekkel folytatott kommunikáció körüli összes adattal együtt, mint például időbélyegzők, interakciós statisztikák, sőt, még néhány mellékelt csatolmány is.
Mindezt anélkül, hogy a felhasználónak bármilyen kérése vagy engedélye lenne. Ráadásul egészen a közelmúltig az alkalmazások hozzáférhettek a Gyorstárcsázó adatbázishoz és a Címjegyzék adatbázisához is, a hozzájuk kapcsolódó összes metaadattal együtt. Úgy tűnik azonban, hogy az Apple nemrég gondoskodott erről, mivel a 9to5Mac jelentése szerint az exploit ezen része végre elérhetetlennek tűnik.
Ez a bizonyos exploit bármelyik letöltött harmadik féltől származó alkalmazás számára lehetővé teszi, hogy belenézzen a csomagazonosítókba, és kitalálja, hogy az adott alkalmazás telepítve van-e az iPhone-on, ha úgy dönt, hogy megkeresi ezt az információt. A Nehelper Wifi Info 0-day képes lehetővé tenni, hogy bármely alkalmazás, amely már engedélyezett hozzáférést kapott a felhasználó helyéhez, a felhasználó engedélye nélkül hozzáférjen azokhoz a Wi-Fi hálózatokhoz, amelyekhez az iPhone csatlakozott.
Az Apple figyelmen kívül hagyta a biztonsági hibákat, és a fejvadászok, akik megtalálták azokat.
Hogy ez a három sebezhetőség nyilvánosságra került, az Apple csak saját magát okolhatja, mivel Tokarevnek lényegében nem maradt más lehetősége, hogy cselekvésre sarkallja a vállalatot. Arra sincs garancia, hogy a rosszindulatú szereplők nem használták ki a hibákat már ezt megelőzően is, senki tudta nélkül. Ahogy arra a 9to5Mac már rámutatott, a Gamed 0-napos hibájának egy részét a jelek szerint már befoltozták, és most az Apple-t minden bizonnyal szorítja az idő, hogy a többit azonnal elintézze, ha el akarja kerülni a sokkal nagyobb problémákat és botrányokat a jövőben.