Google araştırmacılarının söylediklerinden bir haftadan fazla bir süre sonra potansiyel olarak binlerce iPhone bozuk web sitelerinden etkilendi, Apple "gerçeklerle" yanıt verdi, ancak açıklaması Google'da gerçek bir açıklamadan çok bir kırbaçtı.

Google Project Zero blog gönderisinde anlatıldığı gibi, "Sofistike saldırı dar bir şekilde odaklanmıştı, iPhone'ların 'topluca' geniş tabanlı bir istismarı değil," dedi Apple beyanı, bugün yayınlandı (Eylül. 6). "Saldırı bir düzineden daha az web sitesini etkiledi."

Yine de Apple'ın açıklaması boşluklarla dolu ve Google araştırmacılarının gerçekten ortaya çıkardığı şeyi görmezden geliyor - iOS'un çok beğenilen güvenliğinin gerçeklikten çok efsane olabileceği.

DAHA: Toplu iPhone Hack, Apple için Büyük Uyandırma Çağrısı

Apple, Google raporunun "kitlesel sömürü" gibi yanlış izlenim yarattığını "ve" tüm iPhone kullanıcıları arasında cihazlarının tehlikeye atıldığına dair korkunun arttığını "söyledi. "Tüm kanıtlar, bu web sitesi saldırılarının Google'ın ima ettiği gibi 'iki yıl' değil, kabaca iki ay gibi kısa bir süre için çalıştığını gösteriyor."

Bu tam olarak doğru değil. İstismarlarToplamda 14'ü, 2016'nın sonlarında başlayan, her biri iOS'un farklı sürümlerine karşılık gelen beş farklı saldırı kampanyasının parçasıydı.

İOS 12.0 ve 12.1'e yönelik en son saldırı kampanyalarından biri 2018 sonbaharında üç aydan kısa sürdü, ancak diğer ikisi altı ay ve bir diğer dokuz ay sürdü.

Google Project Zero'nun iOS sulama deliği saldırılarının zaman çizelgesi.
Google Project Zero'nun iOS sulama deliği saldırılarının zaman çizelgesi. (Resim kredisi: Google Project Zero)

Bunlar, belirli türdeki kişilerin belirli web sitelerini düzenli olarak ziyaret edeceği fikrine dayanan klasik "sulama deliği" saldırılarıydı.

Apple, bu durumda kötü amaçlı yazılımın batı Çin'deki "Uygur topluluğuyla ilgili içeriğe odaklanan" sitelere yerleştirildiğini söyledi. söylentiler ve spekülasyon Google raporunu yayınlar yayınlamaz ortaya çıktı.

Bu sadece senin fikrin dostum

Ama bu hala kitlesel bir saldırı, hedeflenen değil. Bir Uygur tarafından kullanılıp kullanılmadığına bakılmaksızın, bozuk web sitelerine giden herhangi bir iPhone'a başarıyla bulaşmış olabilir. Bu sitelerin kodundaki kötü amaçlı yazılım implantını keşfeden herhangi biri onu kopyalayıp başka bir yerde kullanabilirdi.

Apple açıklamasında, "Söz konusu güvenlik açıklarını Şubat ayında düzelttik - sorunu öğrendikten sadece 10 gün sonra çözmek için son derece hızlı çalıştık" diyor. "Google bize yaklaştığında, zaten kötüye kullanılan hataları düzeltme sürecindeydik."

Apple şükranları hak ediyor En acil kusurlar için bir yama yayınlamak, iOS 12.0 ve 12.1'i oldukça hızlı bir şekilde etkiliyor. Ancak elbette, önceki iki yılda kötüye kullanılan önceki hataların çoğunu daha önceki iOS güncellemeleriyle yamalanmıştı. Saldırganlar yeni hatalar bulmaya devam etti.

Buradaki asıl mesele bu. Saldırganlar - argüman aşkına, Çin devlet istihbaratı olduklarını varsayalım - görünüşte sonsuz bir iOS güvenlik açığı kaynağına sahipler. Apple her köstebeğe vurduğunda, bir tane daha ortaya çıktı.

Tüm kusurlar Apple tarafından bilinmiyordu. Bazıları ifşa edildikten ve hatta yamalandıktan sonra bile bu durumda saldırganlar tarafından kullanılmaya devam edildi. Kötü amaçlı yazılımların hiçbiri, iPhone yeniden başlatıldıktan sonra çalışmaya devam edecek kadar "kalıcı" değildi.

Ancak bir iPhone'a kolayca bulaşmak için kullanılabilecek, önceden bilinmeyen yeterince güvenlik açığı vardı bir bağlantıya tıklandığında - infosec jargonunda tek tıklamayla sıfır gün istismarları - iOS güvenliği birdenbire çok daha az görünüyor katı.

Bu iOS sıfır gün istismarları o kadar bolsa ve görünüşe göre saldırganların bunları halka açık web sitelerinde aylarca kullanmasını sağlamak için o kadar ucuzsa, iOS gerçekten ne kadar güvenli?

Düzinelerce daha ucuz

Salı günü (Eylül. 3), ZerodyumSıfır gün istismarlarının önde gelen satıcılarından biri, en büyük Android istismarı için 1,5 milyon dolara kadar ödeme yapacağını açıkladı, ancak buna karşılık gelen bir iPhone için yalnızca 1 milyon dolar ödeyeceğini açıkladı. (Google'ın anlattığı saldırılarda kullanılan istismarların değeri 500.000 dolar olacaktı.)

Zerodium CEO'su Chaouki Bekrar, "Sıfır gün pazarı iOS istismarlarıyla o kadar doludur ki, yakın zamanda bazılarını reddetmeye başladık." Bleeping Bilgisayar. "Öte yandan, Google ve Samsung'un güvenlik ekipleri sayesinde işletim sisteminin her yeni sürümüyle Android güvenliği gelişiyor."

Zerodium'un duyurusunu bir PR dublörü olarak görmemek zordu. Eski Facebook güvenlik başkanı Alex Stamos Zerodium'un "kendilerini haber döngüsüne dahil etmek için güvenlik medyasındaki bir güvenlik açığını kullandığını" söyledi.

Ancak bu aykırı görüş, GrugqSahte bir Güney Afrikalı sıfır gün komisyoncusu, Twitter'da "Android'in iOS'tan çok daha güvenli bir platform olduğunu" açıkladı, ancak Android'i düzgün bir şekilde kullandığın sürece.

"İOS ekosistemi, güvenliğin en son donanıma ve en son yazılıma bağlı olduğu bir monokültürdür" diye ekledi. "Her ikisinde de gerideysen? Ticari istismar zincirlerine karşı savunmasız. Çoklu zincirler. Android inanılmaz derecede daha dayanıklı hale geldi ve çeşitlilik nedeniyle saldırılması çok daha zor hale geldi. "

Üçüncü bir sıfır gün satıcısı olan Andrea Zapparoli Manzoni, Vice News "Android o kadar parçalı bir manzara ki 'evrensel bir zincir' bulmak neredeyse imkansız." 

Bazı yüksek profilli kişilerin iOS'tan Android'e geçerek birçok Android cihazda çalışan bir istismarı "hemen daha değerli" hale getirdiğini de sözlerine ekledi.

Gelincik kelimeler

Tamamen adil olmak gerekirse, iOS App Store, Google'ın reklam yazılımlarıyla boğuşan Play Store'undan hala çok daha güvenlidir.

Apple, iPhone'ları güvende tutma sorumluluğunu üstlenmek yerine çok fazla övgüyü hak ediyor. Android telefon üreticilerinin ve kablosuz iletişim operatörlerinin yaptığı gibi parayı son kullanıcıya aktarmak yıl. (Google bu oyunu birkaç yıl öncesine kadar oynadı.)

Ancak modern akıllı telefonu icat eden Apple'ın bugünün açıklamasında güvenlik gelinciklerini kullandığını görmek gerçekten ürkütücü. Virüs bulaşmış web sitelerini "karmaşık bir saldırı" olarak tanımladığında, kimsenin onu durduramayacağı anlamına gelir.

"Tüm kullanıcıların güvenliğini son derece ciddiye alıyoruz" dediği zaman, bilgisayar korsanlarının 40 milyon kredi kartı numarasını nasıl çalmayı başardığını açıklayan büyük bir süper mağaza zinciri gibi görünüyor.

"Güvenlik hiç bitmeyen bir yolculuktur ve müşterilerimiz onlar için çalıştığımızdan emin olabilir" dediği zaman, iyi ve gerçekten şaşkın olduğunu bilen bir şirket gibi görünüyor.

  • Apple iPhone'ların Neden Antivirüs Yazılımına İhtiyacı Yok?
  • Sürpriz! iOS Uygulamaları Güvenlikte Android Kadar Kötü (Rapor)
  • Google'ın Öfkelerini Unutun: Android, iOS'tan Hala Daha Az Güvenli