Повече от седмица след изследователите на Google потенциално хиляди iPhone са заразени от повредени уебсайтове, Apple отговори с "фактите", но изявлението му беше по-скоро размисъл пред Google, отколкото действително обяснение.

"Сложната атака беше съсредоточена, а не широко разпространен експлойт на iPhone" масово ", както е описано" в публикацията в блога на Google Project Zero, каза изявлението на Apple, публикувано днес (септември. 6). „Атаката засегна по-малко от дузина уебсайтове.“

И все пак изявлението на Apple е пълно с дупки и пренебрегва онова, което изследователите на Google може би наистина са разкрили - че много възхищаваната сигурност на iOS може да е по-скоро мит, отколкото реалност.

ПОВЕЧЕ ▼: Mass iPhone Hack е огромно събуждане за Apple

Докладът на Google „създава фалшивото впечатление за„ масова експлоатация “и„ предизвиква страх сред всички потребители на iPhone, че техните устройства са били компрометирани “, каза Apple. „Всички доказателства сочат, че тези атаки на уебсайтове са били оперативни само за кратък период, приблизително два месеца, а не„ две години “, както предполага Google.“

Това не е точно така. Подвизите, Общо 14, бяха част от пет различни кампании за атаки, всяка от които съответства на различни версии на iOS, започнали в края на 2016 г.

Една от последните кампании за атаки срещу iOS 12.0 и 12.1 продължи по-малко от три месеца през есента на 2018 г., но други две продължиха шест месеца и още девет месеца.

Хронологията на Google Project Zero за атаките с дупки в iOS.
Хронологията на Google Project Zero за атаките с дупки в iOS. (Кредит за изображение: Google Project Zero)

Това бяха класически атаки с "дупка", основани на идеята, че определени типове хора ще бъдат редовни посетители на определени уебсайтове.

В този случай, каза Apple, зловредният софтуер е бил поставен на сайтове, "които се фокусират върху съдържание, свързано с уйгурската общност" в Западен Китай, привидно потвърждавайки слухове и спекулации това възникна веднага след като Google публикува своя доклад.

Е, това е само твоето мнение, човече

Но това все още е масова атака, а не целенасочена. Всеки iPhone, независимо дали се използва от уйгур или не, който се е придвижвал до повредените уебсайтове, може да бъде успешно заразен. Всеки, който е открил импланта на зловреден софтуер в кода на тези сайтове, може да го копира и използва на друго място.

„Поправихме въпросните уязвимости през февруари - работехме изключително бързо, за да разрешим проблема само 10 дни след като научихме за това“, се казва в изявлението на Apple. „Когато Google се обърна към нас, ние вече бяхме в процес на отстраняване на експлоатираните грешки.“

Apple наистина заслужава слава за издаване на пластир за най-неотложните недостатъци, засягащи iOS 12.0 и 12.1, доста бързо. Но разбира се, той вече бе закърпил повечето от по-ранните грешки, експлоатирани през предходните две години с по-ранни актуализации на iOS. Нападателите просто продължаваха да намират нови грешки.

Това е истинският проблем тук. Нападателите - за аргумент, нека просто предположим, че са китайско държавно разузнаване - имаха привидно безкрайно доставяне на уязвимости на iOS. Всеки път, когато Apple удари бенка, изскачаше друга.

Не всички недостатъци бяха неизвестни за Apple. Някои продължават да бъдат използвани от нападателите в този случай дори след като са били разкрити и дори закърпени. Нито един от зловредния софтуер не беше достатъчно „постоянен“, за да продължи да работи след рестартиране на iPhone.

Но имаше достатъчно неизвестни досега уязвимости, които можеха да бъдат използвани, за да заразят iPhone толкова просто щракна върху връзка - експлоати с нулев ден с едно щракване, на жаргон infosec - че сигурността на iOS изведнъж изглежда много по-малко твърдо.

Ако тези експлоати с нулев ден на iOS бяха толкова много и очевидно толкова евтини, за да се получат, че нападателите ще ги разположат в продължение на месеци на публични уебсайтове, тогава колко сигурен е iOS наистина?

По-евтино от дузината

Неслучайно във вторник (септ. 3), Zerodium, водещ дистрибутор на нулеви експлойти, обяви, че ще плати до 1,5 милиона долара за топ експлойт на Android, но само 1 милион долара за съответния iPhone. (Подвизите, използвани при атаките, които Google е регистрирал, биха стрували 500 000 долара.)

„Пазарът на нулевия ден е толкова наводнен от подвизи на iOS, че наскоро започнахме да отказваме някои от тях“, каза изпълнителният директор на Zerodium Чауки Бекрар Bleeping Computer. „От друга страна, защитата на Android се подобрява с всяка нова версия на операционната система, благодарение на екипите за сигурност на Google и Samsung.“

Трудно беше да не възприемам съобщението на Zerodium като PR каскада. Бивш шеф на сигурността във Facebook Алекс Стамос изтъкна, че Zerodium „използва уязвимост в медиите за сигурност, за да се вмъкне в новинарския цикъл“.

Но тази противоположна гледна точка придоби повече доверие, когато Grugq, псевдоним Южноафрикански брокер с нулев ден, заяви в Twitter, че „Android е много по-безопасна платформа от iOS“, стига да се справяте правилно с Android.

„Екосистемата на iOS е монокултура, където сигурността е обвързана с най-новия хардуер и най-новия софтуер“, добави той. „Ако сте изостанали по който и да е? Уязвим за търговски експлойт вериги. Множество вериги. Android стана невероятно по-издръжлив и поради разнообразието много по-трудно да се атакува. "

Трети дистрибутор на нулев ден, Андреа Запароли Манцони, каза за Vice News че „Android е толкова фрагментиран пейзаж, че„ универсална верига “е почти невъзможно да се намери.“ 

Той добави, че някои високопоставени лица са преминали от iOS към Android, което прави експлойт, който работи срещу много устройства с Android, „незабавно по-ценен“.

Невестуларски думи

За да бъдем напълно справедливи, iOS App Store все още е много по-безопасен от рекламирания от Google Play Store магазин.

Apple също заслужава адски голяма заслуга за поемането на отговорност за опазването на iPhone, а не предаване на парите на крайния потребител по начина, по който производителите на мобилни телефони и безжичните оператори на Android са го направили години. (Google също играеше тази игра до преди няколко години.)

Но наистина е обезпокояващо да видим Apple, компанията, която е изобретила съвременния смартфон, да използва думи за невестулка в днешното изявление. Когато описва заразените уебсайтове като „сложна атака“, това означава, че никой не е могъл да я спре.

Когато се казва „ние приемаме безопасността и сигурността на всички потребители изключително сериозно“, звучи като голяма супермаркетна верига, обясняваща как хакерите са успели да откраднат 40 милиона номера на кредитни карти.

Когато се казва, че „сигурността е безкрайно пътуване и нашите клиенти могат да бъдат уверени, че работим за тях“, звучи като компания, която знае, че е добре и наистина е заложена.

  • Защо Apple iPhone не се нуждаят от антивирусен софтуер
  • Изненада! Приложения за iOS също толкова лоши, колкото Android при сигурност (доклад)
  • Забравете похвалите на Google: Android все още е по-малко сигурен от iOS