Yksi Apple näyttää ylpeänä monissa markkinointikampanjoissaan olevista asioista on käyttäjien yksityisyys ja turvallisuus. Mutta pitävätkö Cupertinossa toimiva yritys ja sen henkilökunta todellakin näitä arvoja yhtä kalliina ja lähellä sydäntä kuin ne johtavat?
Monet Apple-fanit eivät miettisi kahdesti vastatakseen yllä olevaan kysymykseen”kyllä”tai ainakin väittävät, että Apple on tekevät tällä alalla enemmän kuin muut teknologiayritykset. Mutta toiset vastustavat tällaisia vastauksia ja väittävät täysin toisenlaisen näkökulman, ja ehkä hyvästä syystä.
Yksinomaisessa kirjeenvaihdossa 08Tc3wBB, saimme ystävällisesti tietoturvatutkijan näkemyksen asiasta. Löydökset voivat avata silmäsi täysin uudelle näkökulmalle, varsinkin jos seisot tavallisesti Applen markkinointiväitteiden takana.
Jos et jo tiennyt, 08Tc3wBB on hakkeri ja tietoturvatutkija, joka nousi usein otsikoihin löydettyään Applen käyttöjärjestelmien tietoturva-aukkoja. Yksi hänen tunnistetuimmista saavutuksistaan oli Odysseyn ja unc0verin jailbreakien hyödyntäminen iOS 12:n ja 13:n eri versioiden julkaisemiseen. Äskettäin hän ilmoitti löytäneensä 0 päivän haavoittuvuuden iOS 15:lle, mutta välittömiä suunnitelmia ei ole julkaise se julkisesti.
Näiden vaikuttavien saavutusten lisäksi, palataanpa käsillä olevaan asiaan…
Applen markkinointi on juuri sitä… markkinointia
Apple koristaa tietoturvaa sen monista alustoista, mukaan lukien iOS, iPadOS ja macOS omistetulla verkkosivulla. Yritys mainitsee kaikenlaisia suojausmekanismeja, jotka on suunniteltu”maksimoimaan”käyttäjien turvallisuutta, mukaan lukien itse laitteisto, siinä käytettävä ohjelmisto, kuratoidut sovellus-ja palvelutarjoukset sekä päästä päähän-tietojen salaus.
Mutta kestääkö mikään noista edes vettä, jos Applen käyttöjärjestelmät eivät saa ajoissa ja riittäviä tietoturvakorjauksia pian sen jälkeen, kun tietoturvatutkijat ovat ilmoittaneet ongelmistaan yritykselle?
08Tc3wBB on sitä mieltä, että Apple tekee aitoa pyrkimystä pitää käyttäjänsä turvassa, ja vaikka uskonkin, että se on jossain määrin totta, yksi asia 08Tc3wBB ja minä olemme molemmat samaa mieltä siitä, että Apple voisi hyötyä yrityksen sisäisten käytäntöjen luomisesta, jotka palkitsevat laadukkaammat virheenkorjaukset, jotka parantavat käyttäjien turvallisuutta.
Haavoittuvuus, jota ei koskaan olisi pitänyt olla
Tämän vuoden lokakuussa Apple myönsi 08Tc3wBB:lle 52 500 dollaria raportoituaan kriittisestä ytimen haavoittuvuudesta, joka vaikutti M1-sirulla varustettuihin Mac-tietokoneisiin, joita olisi käytetty hyväksi. myönsi hyökkääjän luku-ja kirjoitusoikeudet laitteen ytimen muistiin. Tämä bugi korjattiin virallisesti toukokuussa, mutta on syytä huomata, että Apple oli tietoinen siitä useita kuukausia aikaisemmin.
Hyödynnyksiä on käytännössä kaikissa laitteisto-ja ohjelmistoyhdistelmissä, joten sellaisen olemassaolo ei ole juurikaan huolenaihe. Huoli sen sijaan liittyy siihen, kuinka 08Tc3wBB onnistui perustamaan suuren osan M1-pohjaisesta haavoittuvuudesta yksityiskohtiin, joita käsiteltiin viestissä julkaistu Zimperium-blogissa vuoden 2017 puolivälissä.
Adam Donenfeldin kirjoittama blogiteksti sisältää tiedot ainakin seitsemästä eri ydintason bugista, jotka liittyvät vähän tunnettuun AppleAVE-ajurimoduuliin. joka syystä tai toisesta oli”turvallisuuden perusperiaatteiden laiminlyöminen siinä määrin, että haavoittuvuudet… riittivät ytimen pwn-koodiin ja mielivaltaisen luku-/kirjoitus-ja roottoriin.”
Applen väitetään korjanneen nämä haavoittuvuudet myöhemmin. päälle ja niille on määritetty CVE-tunnusnumerot. Tämä tapahtuu yleensä, kun Apple julkaisee”tietoturvasisällöstä…-sivun, jossa viitataan tiettyyn ohjelmistopäivitykseen, ja sinä Olet luultavasti nähnyt sellaisen itse heti oman iPhonesi tai iPadisi ohjelmistopäivityksen jälkeen.
Mutta tässä tapauksessa 08Tc3wBB kuvaa, kuinka Apple vain hämärsi haavoittuvuudet kovettamalla hiekkalaatikkoa sen sijaan, että olisi korjannut ne suoraan. Kun uudet hiekkalaatikon pakopaikat julkaisivat vuonna 2019 pääsyn näihin haavoittuvuuksiin, 08Tc3wBB on sittemmin raportoinut joukosta erilaisia haavoittuvuuksia, jotka liittyvät suoraan samaan AppleAVE-ohjainmoduuliin.
Yhteensä 08Tc3wBB ansaitsi 315 500 dollaria palkkioita useista lähteistä, mukaan lukien SSD Secure Disclosure, ZecOps ja Apple, saatuaan uudelleen käyttöön ja hyödyntää hämärtynyttä AppleAVE-ohjainmoduulia. Apple käsitteli viimein moduulin heikkoa tietoturvatoteutusta äskettäisessä päivityksessä, mutta mikä yritykseltä kesti niin kauan tehdä niin?
Olosuhteet saattavat kuulostaa tutulta, jos muistat evasi0n-jailbreakin käyttämän dyllin päällekkäisen segmentin ongelman. iOS 6, koska tämän työkalun hyödyntäminen korjattiin vain osittain iOS 9.2:een asti. evasi0n, Pangu, TaiG ja muut käyttivät sitä väärin toistuvasti tekemällä vain pieniä muutoksia hyödyntämislogiikkaan iOS 6, 7, 8 ja 9 aikana. Tämä tapahtui, koska Applen korjaukset olivat tehottomia, kunnes ne otettiin myöhemmin vakavammin..
Aloitatko pisteiden yhdistämistä yllä kuvattujen kuvioiden kanssa? 08Tc3wBB:llä on varmasti…
Applen pitäisi yrittää parantaa moraalia tietoturvatutkimuksen suhteen
Nämä tarinat herättävät kysymyksen: jos AppleAVE-ohjainmoduuli oli alusta alkaen niin epävarma kuin kuvattiin, niin miksi Eikö Applen turvallisuustiimi käsitellyt sitä oikein vuonna 2017, kun se alun perin julkistettiin? Ehkä vielä tärkeämpää on, miksi AppleAVE-ohjainmoduuliin liittyvien haavoittuvuusraporttien ja satojen tuhansien dollarien palkkiomaksujen vuoksi tarvittiin niin paljon, ennen kuin Applen turvallisuustiimi ryhtyi virallisesti hyväksyttäviin toimiin?
Yleisö ei ehkä koskaan huomaa oikea vastaus näihin kysymyksiin, koska Applen turvallisuustiimin henkilökunta on todennäköisesti sidottu salassapitosopimuksiin, mutta 08Tc3wBB:llä on sellainen käsitys, että motivaatiolla voi olla paljon tekemistä asian kanssa.
Miksi, kysyt? Kun tietoturvatutkija ilmoittaa virheestä jossain Applen alustassa, hän saa sekä julkista tunnustusta että huomattavan rahasumman vastineeksi. Mutta kuten 08Tc3wBB korosti, Applen turvallisuustiimin henkilökunta ei todellakaan saa samanlaista tunnustusta, kiitosta tai kannustimia jatkuvasta työstään. Jos se ei olisi tarpeeksi valitettavaa, tiukat määräajat vierivät komentoketjua pitkin ja painostavat samoja turvallisuustiimin jäseniä, kuten tapahtuisi missä tahansa työssä.
Tästä lähtien ihmisen peruspsykologia alkaa toimia, ja se on on helppo ymmärtää, miksi nämä turvallisuustiimin työntekijät eivät ehkä ole niin motivoituneita kuin voisivat tehdä parhaansa. Sen sijaan Applen nykyinen järjestelmä kannustaa tekemään”riittävän hyviä”korjauksia lyhyemmässä ajassa, jotta Apple voi sanoa tehneensä asialle jotain, eikä tämä hyödytä loppukäyttäjää millään tavalla.
Suora seuraus on, että käyttäjät saavat heikompilaatuisia, pientä vaivaa vaativia ohjelmistokorjauksia, joita päättäväiset tietoturvatutkijat käyttävät helposti ja toistuvasti hyväkseen hyökkäysmenetelmäänsä. Oikein kannustetussa järjestelmässä käyttäjät voivat saada hyvin harkittuja tietoturvakorjauksia, joita hakkereiden olisi huomattavasti vaikeampi ohittaa.
Vaihtuuko tämä koskaan?
Todellisuus iskee varmasti kovaa, jos olivat sitä mieltä, että Apple tekee kaikkensa pitääkseen tietosi turvassa, mutta 08Tc3wBB uskoo, että asiat voisivat muuttua, jos Apple yksinkertaisesti antaisi turvallisuustiimilleen samantasoista tunnustusta, kiitosta ja kannustimia kuin ne löytävät. Loppujen lopuksi juuri ne henkilöstön jäsenet omistavat aikaansa ja vaivaansa jatkuvasti torjuakseen tietoturva-aukkojen hyökkäystä.
08Tc3wBB kertoi meille, että Apple voisi ja sen pitäisi olla avoimempi haavoittuvuuksien korjausprosessissa, erityisesti tietoturvatutkijoille, jotka ilmoittavat niistä.
Tällä hetkellä Apple ei anna vikatoimittajille palautetta siitä, kuinka he aikovat korjata virheen. Mutta heidän pitäisi, koska usein tietoturvatutkijat itse voivat tarjota arvokasta näkemystä siitä, kuinka tehokkaasti korjata löytämänsä.
Johtopäätös
Applen markkinointikielestä käy ilmi, että yritys ottaa turvallisuutta vakavammin kuin monet muut teknologiayritykset. Mutta @08Tc3wBB:n havaintojen perusteella vaikuttaa siltä, että suurin heikkous Applen nykyisessä virheenkorjausjärjestelmässä on alhainen moraali.
Tämän korjaamiseksi Applen tulisi harkita ponnistelujensa tehostamista sisäisten ohjelmistojensa joukossa. turvahenkilöstöä kannustimilla, jotka palkitsevat tyydyttävät ja oikea-aikaiset virheenkorjaukset. Tähän saattaa sisältyä työskentely ulkopuolisten tietoturvatutkijoiden kanssa parantaaksemme tietoturvakorjausten laatua ja antaa arvokasta tunnustusta kaikesta kovasta työstä, joka tehdään tämän kaiken mahdollistamiseksi.
Keskustelumme 08Tc3wBB:n kanssa olivat todella oivaltavia. Haluaisimme todellakin toivoa, että Apple löytää mielekkään tavan käsitellä näitä huolenaiheita, eikä vain mielekästä tapaa, vaan myös oikean tavan. Etkö suostuisi? Jaa ajatuksesi asiasta alla olevassa kommenttiosiossa.
