Apple atklāj iPhone kodu stratēģijā “Kas varētu būt gudrs” vai drošības satricinājumā

Otrajā rakstā par šo stāstu ir iekļauta papildu informācija no Apple.





Kad Apple pagājušajā nedēļā Sanfrancisko paziņoja par jaunu savas mobilās operētājsistēmas versiju, vadītāji lepojās ar tādām funkcijām kā viedāka Siri un uzlabota kopēšana un ielīmēšana. Un kā parasti viņi paziņoja, ka programmatūras izstrādātāji var lejupielādēt programmatūras priekšskatījuma versiju pirms tās izlaišanas rudenī.

Daži drošības eksperti, kas pārbaudīja šo jauno iOS versiju, saņēma lielu pārsteigumu.

Viņi atklāja, ka Apple nav aizēnojusi savas operētājsistēmas sirds darbību, izmantojot šifrēšanu, kā uzņēmums to darījis iepriekš. Izšķirošās koda daļas, kas paredzētas miljoniem iPhone un iPad ierīču darbināšanai, tika atklātas, lai tās varētu redzēt visi. Tas palīdzētu ikvienam, kurš meklē drošības nepilnības Apple vadošajā programmatūrā.



Tims Kuks pagājušajā nedēļā Apple izstrādātāju konferencē Sanfrancisko.

Drošības eksperti saka, ka slavenais slepenais uzņēmums, iespējams, ir pieņēmis drosmīgu jaunu stratēģiju, kuras mērķis ir mudināt vairāk cilvēku ziņot par kļūdām tā programmatūrā, vai arī tas ir pieļāvis apkaunojošu kļūdu. Apple atteicās komentēt, kāpēc tas neievēroja ierasto procedūru.

(Redaktora piezīme: Apple vēlāk komentēja, skatiet sadaļu Apple tagad saka, ka tas ir paredzēts iPhone koda atvēršanai.)



Apple programmatūras drošība ir pakļauta papildu pārbaudei, jo FIB neveiksmīgi mēģināja piespiest uzņēmumu palīdzēt iekļūt ierīcē, ko izmantoja pagājušā gada masveida apšaudes vaininieks Sanbernardino, Kalifornijā (skatiet sadaļu Ko darīt, ja Apple ir nepareizi?). Apple ir paziņojis, ka stiprinās drošības un privātuma funkcijas.

Operētājsistēmas sirds ir komponents, kas pazīstams kā kodols, kas kontrolē veidu, kā programmas var izmantot ierīces aparatūru un nodrošina drošību. Apple iepriekš ir šifrējis kodolu iOS izlaidumos, slēpjot tā precīzu darbību un liekot pētniekiem atrast veidus, kā to apiet vai caur to. Taču kodols tika atstāts neapslēpts iOS 10 priekšskatījuma versijā, kas pagājušajā nedēļā tika izlaista izstrādātājiem jaunākajām Apple ierīcēm.

Tas nenozīmē, ka iOS 10 drošība ir apdraudēta. Taču šajā operētājsistēmas versijā trūkumus meklēt būs daudz vienkāršāk, saka Džonatans Levins, padziļināta grāmata par iOS iekšējo darbību. Viņš saka, ka tas ievērojami samazina reversās inženierijas sarežģītību.



Pirmo reizi publiski eksponētie labumi ietver drošības pasākumu, kas paredzēts, lai aizsargātu kodolu no modifikācijas, saka drošības pētnieks. Metjū Solniks . Tagad, kad tas ir publiski pieejams, cilvēki varēs to izpētīt [un], iespējams, atrast veidus, kā to apiet, viņš saka.

Daži cilvēki, kuri atklāj programmatūras kļūdas, atklāj tās uzņēmumiem, lai tās varētu novērst, taču tās var izmantot arī ļaunprātīgas programmatūras izveidei vai jailbreaks, kas ir Apple neapstiprinātas modifikācijas.

Kāpēc Apple pēkšņi atvēra savu kodu, nav skaidrs. Viena hipotēze drošības aprindās ir tāda, ka, kā izteicās Levins, kāds uzņēmuma iekšienē ir karaliski sabojājies. Taču viņš un Solniks saka, ka ir iemesls domāt, ka tas varētu būt bijis tīšs. Mudinot vairāk cilvēku iepazīties ar kodu, Apple var tikt atklāts vairāk kļūdu, lai tas varētu tās novērst.



Džonatans Zdziarskis , cits iOS drošības eksperts, atbalsta šo hipotēzi, jo nejauša kodola šifrēšanas aizmiršana būtu tik elementāra kļūda. Viņš saka, ka tā būtu bijusi neticami spilgta pārraudzība, piemēram, aizmirstot uzlikt liftam durvis.

Zdziarskis atzīmē, ka tā koda atvēršana būtu saprātīga, ņemot vērā Apple neseno saskarsmi ar FIB. Sākotnēji aģentūra vēlējās, lai Apple palīdzētu iekļūt Sanbernardino iPhone, taču tā atteicās no šī plāna pēc tam, kad tika atrasta trešā puse, kas varētu ielauzties ierīcē. Tie bija jaunākie pierādījumi par tirdzniecības paplašināšanos, kas pārdod programmatūras eksplozijas tiesībaizsardzības iestādēm (skatiet The Growing Industry Helping Governments Hack teroristiem, noziedzniekiem un politiskajiem oponentiem). IOS atvēršana ikvienam, lai to varētu pārbaudīt, varētu vājināt šo tirgu, apgrūtinot atsevišķām grupām zināšanu uzkrāšanu par ievainojamībām, saka Zdziarskis.

Apple pat ir apsūdzēts par efektīvu šī tirgus veicināšanu, jo tas nav bijis tik draudzīgs pret drošības ieteikumiem no ārpuses, kā to dara konkurenti, piemēram, Google un Microsoft. Atšķirībā no šiem uzņēmumiem Apple nepiedāvā kļūdu naudas maksājumus cilvēkiem, kuri atklāj, piemēram, trūkumus, ko viņi ir atklājuši tā produktos. Tomēr, ja Apple censtos saņemt palīdzību no malas, vienkārši palaist kļūdu programmu, iespējams, būtu bijusi mazāk riskanta nekā pēkšņa atklātas sezonas izsludināšana iOS kodolā. Tas ir azarts, saka Zdziarskis. Bet es redzu iespējamo iemeslu, kāpēc Apple, iespējams, ir nolēmis veikt šīs likmes.

paslēpties