بعد أكثر من أسبوع من قال باحثو جوجل يحتمل أن الآلاف من أجهزة iPhone أصيبت بمواقع تالفة، ردت شركة آبل بـ "الحقائق" ، لكن بيانها كان بمثابة انتقاد لجوجل أكثر من كونه تفسيرًا فعليًا.

قال: "كان الهجوم المتطور مركزًا ضيقًا ، وليس استغلالًا واسع النطاق لأجهزة iPhone 'بشكل جماعي' كما هو موضح" في منشور مدونة Google Project Zero ، بيان شركة آبل، تم النشر اليوم (سبتمبر. 6). وأثر الهجوم على أقل من عشرة مواقع.

ومع ذلك ، فإن بيان Apple مليء بالثغرات ، ويتجاهل ما قد كشفه باحثو Google حقًا - وهو أن أمان iOS الذي يحظى بإعجاب كبير قد يكون أسطورة أكثر منه حقيقة.

أكثر: هاك iPhone الجماعي هو دعوة إيقاظ ضخمة لشركة Apple

قالت شركة آبل إن تقرير Google "خلق انطباعًا خاطئًا عن" الاستغلال الجماعي "و" أثار الخوف بين جميع مستخدمي iPhone من تعرض أجهزتهم للاختراق ". "تشير جميع الأدلة إلى أن هذه الهجمات على المواقع الإلكترونية لم يتم تشغيلها إلا لفترة وجيزة ، حوالي شهرين ، وليس" عامين "كما توحي Google".

هذا ليس صحيحًا تمامًا. المآثر، 14 في المجمل ، كانت جزءًا من خمس حملات هجوم مختلفة ، كل منها يتوافق مع إصدارات مختلفة من iOS ، والتي بدأت في أواخر عام 2016.

استمرت إحدى أحدث حملات الهجوم ضد iOS 12.0 و 12.1 ، أقل من ثلاثة أشهر في خريف 2018 ، لكن استمرت اثنتان أخريان ستة أشهر وتسعة أشهر أخرى.

الجدول الزمني لـ Google Project Zero لهجمات iOS.
الجدول الزمني لـ Google Project Zero لهجمات iOS. (رصيد الصورة: Google Project Zero)

كانت هذه هجمات "ثقب الري" الكلاسيكية ، تستند إلى فكرة أن أنواعًا معينة من الأشخاص سيكونون زوارًا منتظمين لمواقع معينة.

وقالت شركة آبل إنه في هذه الحالة ، تم وضع البرامج الضارة على المواقع "التي تركز على المحتوى المتعلق بمجتمع الأويغور" في غرب الصين ، مما يؤكد على ما يبدو شائعات و تكهنات التي نشأت بمجرد إصدار Google لتقريرها.

حسنًا ، هذا مجرد رأيك يا رجل

لكن هذا لا يزال هجومًا جماعيًا ، وليس هجومًا مستهدفًا. أي iPhone ، سواء استخدمه الأويغور أم لا ، انتقل إلى المواقع التالفة يمكن أن يكون مصابًا بنجاح. يمكن لأي شخص اكتشف غرسة البرامج الضارة في كود تلك المواقع نسخها واستخدامها في مكان آخر.

وجاء في بيان شركة آبل: "لقد أصلحنا نقاط الضعف المعنية في فبراير - وعملنا بسرعة كبيرة لحل المشكلة بعد 10 أيام فقط من علمنا بها". "عندما تواصلت Google معنا ، كنا بالفعل في طور إصلاح الأخطاء التي تم استغلالها."

أبل لا تستحق التنويه اصدار التصحيح للعيوب الاكثر استعجالا، التي تؤثر على iOS 12.0 و 12.1 بسرعة إلى حد ما. ولكن بالطبع ، قامت بالفعل بتصحيح معظم الأخطاء السابقة التي تم استغلالها على مدار العامين الماضيين باستخدام تحديثات iOS السابقة. استمر المهاجمون في العثور على أخطاء جديدة.

هذه هي القضية الحقيقية هنا. المهاجمون - من أجل الجدل ، دعنا نفترض فقط أنهم مخابرات الدولة الصينية - كان لديهم على ما يبدو إمدادًا لا نهائيًا من نقاط الضعف في نظام التشغيل iOS. في كل مرة تضرب فيها آبل شامة ، ظهرت واحدة أخرى.

لم تكن كل العيوب مجهولة لشركة Apple. استمر استخدام البعض من قبل المهاجمين في هذه الحالة حتى بعد الكشف عنها وحتى تصحيحها. لم يكن أي من البرامج الضارة "ثابتًا" بدرجة كافية لمواصلة العمل بعد إعادة تشغيل جهاز iPhone.

ولكن كان هناك ما يكفي من الثغرات الأمنية غير المعروفة سابقًا والتي يمكن استغلالها لإصابة جهاز iPhone بهذه البساطة النقر على رابط - ثغرات يوم الصفر بنقرة واحدة ، في لغة Infosec - يبدو أمان iOS فجأة أقل بكثير صلب.

إذا كانت ثغرات يوم الصفر في iOS هذه وفيرة جدًا ، ومن الواضح أنها رخيصة جدًا للحصول عليها بحيث ينشرها المهاجمون لأشهر على مواقع الويب العامة ، فما مدى أمان نظام iOS حقًا؟

أرخص بالدزينة

ليس من قبيل المصادفة أن يوم الثلاثاء (. 3), زيروديومأعلنت شركة إعادة البيع الرائدة لاستغلال ثغرات يوم الصفر ، أنها ستدفع ما يصل إلى 1.5 مليون دولار لأفضل استغلال لنظام Android ، ولكن مليون دولار فقط مقابل جهاز iPhone مماثل. (كانت الثغرات المستخدمة في الهجمات التي سجلتها Google تساوي 500000 دولار).

قال الرئيس التنفيذي لشركة Zerodium ، شوقي بكرار ، "إن سوق يوم الصفر مغمور جدًا بمآثر iOS لدرجة أننا بدأنا مؤخرًا في رفض بعض [منها]" كمبيوتر نائم. "من ناحية أخرى ، يتحسن أمان Android مع كل إصدار جديد من نظام التشغيل بفضل فرق الأمان في Google و Samsung."

كان من الصعب عدم رؤية إعلان Zerodium على أنه حيلة في العلاقات العامة. رئيس أمن فيسبوك السابق أليكس ستاموس مازحًا أن زيروديوم "يستغل ثغرة في الإعلام الأمني ​​ليدخل نفسه في دائرة الأخبار".

لكن هذا الرأي المتناقض اكتسب مصداقية أكبر عندما Grugqأعلن وسيط يوم الصفر في جنوب إفريقيا باسم مستعار على Twitter أن "Android نظام أساسي أكثر أمانًا من iOS" طالما أنك تتعامل مع Android بشكل صحيح.

وأضاف: "نظام iOS هو ثقافة أحادية ، حيث يرتبط الأمن بأحدث الأجهزة وأحدث البرامج". "إذا كنت متخلفًا عن أي منهما؟ عرضة لسلاسل الاستغلال التجاري. سلاسل متعددة. أصبح Android أكثر مرونة بشكل لا يصدق ، وبسبب التنوع أصبح من الصعب مهاجمته ".

أخبر البائع الثالث ، أندريا زابارولي مانزوني نائب الأخبار أن "Android عبارة عن مشهد مجزأ بحيث يكاد يكون من المستحيل العثور على" سلسلة عالمية "." 

وأضاف أن بعض الأفراد البارزين قد تحولوا من iOS إلى Android ، مما يجعل استغلالًا يعمل ضد العديد من أجهزة Android "أكثر قيمة على الفور".

كلمات المحتال

لكي نكون منصفين تمامًا ، لا يزال متجر تطبيقات iOS أكثر أمانًا من متجر جوجل بلاي المليء بالبرامج الإعلانية.

تستحق Apple أيضًا الكثير من الفضل في تحمل مسؤولية الحفاظ على أمان أجهزة iPhone بدلاً من ذلك تمرير المسؤولية إلى المستخدم النهائي بالطريقة التي فعلها صانعو أجهزة Android وشركات الاتصالات اللاسلكية سنوات. (لعبت Google هذه اللعبة أيضًا حتى عامين ماضيين).

لكن من المحزن حقًا أن نرى شركة Apple ، الشركة التي اخترعت الهاتف الذكي الحديث ، تستخدم كلمات ابن عرس في بيان اليوم. عندما يصف المواقع المصابة بأنها "هجوم معقد" ، فهذا يعني أنه لا يمكن لأحد أن يوقفه.

عندما تقول "إننا نأخذ سلامة وأمن جميع المستخدمين على محمل الجد" ، فإنها تبدو وكأنها سلسلة متاجر كبيرة تشرح كيف تمكن المتسللون من سرقة 40 مليون رقم بطاقة ائتمان.

عندما تقول أن "الأمن رحلة لا تنتهي أبدًا ويمكن لعملائنا أن يكونوا واثقين من أننا نعمل من أجلهم" ، يبدو الأمر وكأنه شركة تعرف أنها كانت جيدة ومرهونة حقًا.

  • لماذا لا تحتاج أجهزة iPhone من Apple إلى برامج مكافحة الفيروسات
  • مفاجأة! تطبيقات iOS سيئة مثل Android في الأمان (أبلغ عن)
  • انسَ تفاخر Google: لا يزال Android أقل أمانًا من iOS