Увеличи Маурицио Песче
Apple залага на спор за оспорването на някои дребни детайли от последното седмичен доклад за бомби, че поне две години клиентите iOS устройствата бяха уязвими към низ от експлоатации с нулев ден, в поне някои от тях са били активно използвани за инсталиране на злонамерен софтуер, който откраднали данни за местоположението, пароли, ключове за криптиране и множество от други силно чувствителни данни.
Contents
Допълнителна информация
Въоръжени с iOS 0days, хакери безразборно заразени iPhone за две годиниGoogle Project Zero заяви, че атаките са били проведени безразборно от малка колекция от уебсайтове, които „получиха хиляди посетители седмично. ”Една от петте експлоатационни вериги Анализираните изследователи на Project Zero показаха, че „вероятно са написани едновременно с поддържаните от тях iOS версии. “The заключение на изследователите: „Тази група имаше способност срещу a напълно закърпен iPhone за поне две години. “
По-рано тази седмица изследователи от охранителната фирма Volexity съобщи, че е открил 11 уебсайта, обслужващи интересите на Uyghur Мюсюлманите, които изследователите смятали, са обвързани с атаките Проектът Zero идентифициран. Публикацията на Volexity се основава отчасти на a доклад от TechCrunch, позовавайки се на неназовани хора, запознати с атаки, които казаха, че са дело на нация – вероятно Китай – предназначен да насочи към уйгурската общност в страната Щат Синдзян
Нарушавайки тишината
В продължение на седмица Apple не каза нищо за нито един от докладите. След това нататък В петък тя издаде изявление, което критиците характеризират като тон-глух поради липсата на чувствителност към правата на човека и като прекалено фокусиран върху второстепенни точки. Служители на Apple написаха:
Миналата седмица Google публикува блог за уязвимите места Apple фиксирана за потребители на iOS през февруари. Чували сме се от клиенти които бяха засегнати от някои от твърденията и искаме да се уверим всички наши клиенти имат факти.
Първо, сложната атака беше тясно фокусирана, а не а широко използвана експлоатация на айфони “масово”, както е описано. Атаката засегнати по-малко от дузина уебсайтове, които се фокусират върху съдържание, свързано към уйгурската общност. Независимо от мащаба на атаката, ние вземете изключително сериозно сигурността и сигурността на всички потребители.
Публикация на Google, публикувана шест месеца след като iOS пачовете бяха освободен, създава фалшивото впечатление от „масовата експлоатация“ „Наблюдавайте реално частните дейности на цялото население време “, разпалващ се страх сред всички потребители на iPhone, които техните устройства имат са били компрометирани. Това никога не е било така.
Второ, всички доказателства сочат, че са били атаки на уебсайт функционира само за кратък период, приблизително два месеца, а не „два години ”, както предполага Google. Поправихме въпросните уязвимости през февруари – работи изключително бързо, за да разреши проблема просто 10 дни след като научихме за това. Когато Google се приближи до нас, ние вече бяха в процес на коригиране на експлоатираните бъгове.
Сигурността е безкрайно пътуване и нашите клиенти могат да бъдат уверени сме, че работим за тях. Сигурността на iOS е ненадмината защото поемаме отговорност от край до край за сигурността на нашата хардуер и софтуер. Нашите екипи за сигурност на продуктите по целия свят непрекъснато повтарят, за да въведат нови защити и лепенки уязвимости веднага щом ги намерят. Никога няма да спрем нашите неуморна работа, за да запазим потребителите си.
Едно от нещата, които най-заслужават критиката, беше липсата на чувствителност, която изявлението показа за уйгурското население, което през последното десетилетие или повече се сблъсква с хакерски кампании, лагери за интерниране и други форми на преследване от страна на китайското правителство. Вместо да осъждаме възмутително кампания, извършена върху уязвима група от потребители на iOS, Apple като че ли използваха хакерския шрифт, за да гарантират масовите потребители че не са били насочени Очевидно липсва от изявление беше всяко споменаване на Китай.
Никълъс Уивър, изследовател от UC Berkeley’s International Институт по компютърни науки, обобщи голяма част от тази критика от tweeting: „Нещото, което най-много ме държи на Apple в наши дни, е че те са изцяло на китайския пазар и като такива отказват кажете нещо като „Намерение на правителството за етническо прочистване на малцинственото население извърши масово хакерско нападение срещу нашето потребители “.
Нещото, което най-много ме държи на Apple в наши дни, е, че те са all-in на китайския пазар и като такива отказват да кажат нещо като “Правителствено намерение за етническо прочистване на малцинственото население извърши масово хакерско нападение срещу нашите потребители. ” https://t.co/ACMhtpN53H
– Никълъс Уивър (@ncweaver) 6 септември 2019 г.
Изявлението също изглежда използва факта, че „по-малко от a дузина ”сайтове бяха включени в кампанията като поредното смекчаващо действие фактор. Project Zero беше ясно през цялото време, че броят на сайтовете беше „малък“ и имаше само няколко хиляди посетители всеки месец. По-важното е, че размерът на кампанията имаше всичко необходимо правите решения, взети от нападателите и малко или нищо за правене със сигурността на iPhone.
Два месеца или две години?
Едно от малкото фактически твърдения, предоставени от Apple в изявление е, че уебсайтовете вероятно са функционирали само около два месеца. Внимателен анализ на доклада Project Zero показва, че изследователите никога не са заявявали колко дълго са активно и безразборно експлоатиране на потребителите на iPhone. По-скоро докладът казва: изследване на петте атакуващи вериги, съставени от 14 отделни подвизите предполагат, че те са дали на хакерите възможността да заразят напълно актуални iPhone от поне две години.
Тези точки предизвикаха сатирични туитове, подобни на този от Хуан Андрес Гереро-Сааде, изследовател в областта на сигурността, собственост на Alphabet твърда хроника: „„ Не се е случило по начина, по който са казали, че се е случило, но се случи, но не беше толкова лошо, а просто уйгури не би трябвало да ти пука. Тук няма съвет да давате. Просто се движете заедно. ”
Леле @apple …
„Не се е случило така, както са казали, че се е случило, но е така се случи, но не беше толкова лошо и това са просто уйгури не трябва да се грижи все пак Тук няма съвет да давате. Просто се движете със себе си. ”
– J. A. Guerrero-Saade (@juanandres_gs) 6 септември 2019 г.
Като сатира настрана, изглежда, че Apple твърди, че доказателствата сочат че сайтовете, които Google откриват безразборно, използвайки Уязвимостите на iOS функционираха само два месеца. Освен това, както съобщава ZDNet, изследовател от охранителна фирма RiskIQ твърди, че е открил доказателства, че уебсайтовете не са го направили атакуват потребителите на iOS безразборно, но по-скоро само от посетители от определени държави и общности.
Ако някоя от тези точки е вярна, тогава си струва да се отбележи, тъй като практически всички медийни доклади (включително този от Ars) има казаха, че сайтовете безразборно го правят поне две години. Appleимах възможност да изясня този въпрос и да кажа точно какво знае за активното използване на петте експлоатационни вериги на iPhone Намерена нула. Но в петъчното изявление не се казва нищо за нищо от това, и представители на Apple не отговориха на искане за коментар за тази публикация. Говорител на Google каза, че не знае точно как дълго време беше малката колекция от уебсайтове, посочени в доклада функционира. Той каза, че ще се опита да разбере, но не отговори по-нататък.
В изявление служителите на Google написаха: „Project Zero posts технически изследвания, които са предназначени да разширят разбирането за уязвимости в сигурността, което води до по-добра защита стратегии. Ние стоим до нашето задълбочено проучване, за което беше писано се съсредоточи върху техническите аспекти на тези уязвимости. Ние ще продължете да работите с Apple и други водещи компании, за да помогнете пазете хората в безопасност онлайн. ”
Пропусната възможност
Бивш хакер на NSA и основател на фирмата Rendition Infosec Jake Уилямс каза на Ars, че в крайна сметка времето, в което са били сайтовете за експлоатация активен е несъществен. „Не знам, че тези други 22 месеца има значение ”, обясни той. „Изглежда, че тяхното изявление е по-скоро a сламен човек, за да се отклони от нарушенията на правата на човека. “
Освен това в изявлението на Apple липсва всеки отговор на блестяща критика на доклада Project Zero, направен от Apple на процес на разработка, който докладът твърди, че е пропуснат уязвимости, които в много случаи трябва да бъдат лесно уловими със стандартни процеси за осигуряване на качество.
„Ще разследвам това, което оценявам като основни причини за това уязвимости и обсъждане на някои прозрения, които можем да спечелим в Apple жизнения цикъл на разработката на софтуер “, изследовател на проекта„ Нулева “Ian Beer написа в преглед на доклада от миналата седмица. „Коренът причинява аз подчертайте тук не са роман и често се пренебрегват: ще видим случаи на код, който изглежда никога не е работил, код, който е възможно пропуснал QA или вероятно е имал малко тестване или преглед, преди да бъде изпратен до потребители. “
Друга ключова критика е, че изявлението на Apple има това потенциал да отчужди Project Zero, което според Google Досега говорителят на частно докладва повече от 200 уязвимости към Apple. Лесно е да си представим, че не е било лесно за Apple да прочете доклада за дълбоко гмуркане от миналата седмица, който публично документира кое е лесно най-лошото събитие за сигурност на iOS в неговата 12-годишна история. Но публично оспорване на ключов съюзник по такива дребни детайли с не нови доказателства не създават най-добрата оптика за Apple.
Apple имаше възможност да се извини на пострадалите, благодаря на изследователите, които разкриха системни недостатъци, които предизвикаха неуспех и обяснете как е планирано да се справи по-добре в бъдеще. То не направи нито едно от тези неща. Сега компанията се дистанцира себе си от общността за сигурност, когато тя се нуждае най-много.
