Более не безопасен

svegner — 29.03.2016
Утренняя новость всех газет и блогов: "ФБР получило данные с iPhone террориста без помощи Apple". Минюст США направил в суд калифорнийского города Риверсайд документы, в которых говорится об отзыве иска ведомства к корпорации Apple. Минюст также просить суд отменить предписание, требующее от компании-производителя iPhone оказать властям помощь во взломе смартфона, принадлежавшего террористу Саиду Фаруку, устроившему бойню в социальном центре американского городка Сан-Бернардино. Ранее Минюст США попросил суд об отсрочке по делу, в связи с тем, что специалисты ведомства тестировали новый метод, который позволил бы получить доступ к зашифрованной информации без помощи Apple. Судя по всему, взлом оказался успешным. Местные СМИ писали, что спецслужбы обратились за помощью к хакерам. А все почему?


Известно, что в отличие от своих конкурентов, таких как Google и Microsoft, у Apple отсутствует понятие bug bounty, т.е. денежного вознаграждения за обнаруженные уязвимости в своих продуктах. К основным продуктам, которые больше всего притягивают ресерчеров (люди, которые ищут уязвимости), относятся операционные системы OS X и iOS, а также веб-браузер Safari. Также как и в других случаях обнаружения существенных уязвимостей в ядре для jailbreak (официально неподдерживаемая корпорацией Apple операция, которая позволяет получить доступ к файловой системе устройств iPhone, iPod или iPad, по сути backdoor), последний кейс с значительной уязвимостью в криптографических алгоритмах сервисов компании, также, судя по всему, не стал исключением. Уязвимость была обнаружена исследователями университета Johns Hopkins и была исправлена Apple в вышедших обновлениях для OS X, iOS и watchOS.

На сегодняшний день очень многие компании выплачивают денежные вознаграждения исследователям безопасности за поиск уязвимостей в продуктах и сервисах. Кроме вышеупомянутых Google и Microsoft, другие такие компании как Facebook, Twitter, Mozilla, Yandex, Uber также имеют bug bounty. Google уже заплатила исследователям безопасности более $6 млн. за обнаруженные уязвимости. Компания также предлагает $100 тыс. за обнаружение серьезной уязвимости в Chromebook.

Такая ситуация неприемлема для Apple, которая не предлагает подобной программы, а значит не стимулирует ресерчеров на поиск уязвимостей, что сказывается и на репутации Apple как компании. Кроме включения их имен в бюллетени безопасности, ресерчеры ничего не получают от компании.

Это создает ситуацию, при которой security-компаниям, специализирующимся на поиске уязвимостей в продуктах различных вендоров, выгодно придерживать свои эксплойты для продажи и не уведомлять о них компанию. Недавние события стали тому подтверждениям, когда по инициативе правоохранительных органов, судебное разбирательство с Apple было отложено из-за предложения одной из таких фирм ФБР предоставить инструмент по взлому iDevice и извлечения оттуда зашифрованных данных без знания passcode. (т.е. официальных кодов доступа Apple, ранее требуемых ФБР)

Вывод: Лично мне остается не понятной политика компании Apple, которая с одной стороны выступает за конфиденциальность данных своих пользователей, а с другой не планирует вкладываться в поиск существенных уязвимость, что на сегодняшний день было доказано, черт побери, взломом iPhone без уведомления самого Apple. Как дополнение, когда даже Мелкомягкие (Microsoft), готовые в любой момент слить ваши данные по первому 'звоночку' ФБР, со всеми своими проблемами (вроде убыточности компании за счет стремительного падения продаж Windows Phone) на ровне с Google, стимулируют ресерчеров на поиск уязвимостей, о чем это может говорить? Apple просто жадничают. Вопрос: Знают ли они к чему это может привести?

------------
Добавляйтесь в друзья!
А также добавляйте Вконтакте

Оставить комментарий

Популярные посты:

• Ранее
• Архив