Эксперт по уязвимостям в программном обеспечении, участникGoogle Project Zero Иен Бир (IanBeer) в ходе своего выступления на Black Hat в Лас-Вегасе жестко раскритиковалподход Apple к «работе над ошибками».
Бир заявил, что с 2016 г. он нашел более тридцати «багов» вiOS, и что Apple страдает «распространенной болезнью», исправляя конкретныеуязвимости, но ничего не делая с системными недочетами, которые приводят к ихпоявлению. В частности, он рассказал об уязвимости, к которой написал эксплойтasync_wake для iOS 11.1.2 (и который опубликовал в декабре 2017 г.), а такжеописал еще несколько «багов», которые Apple недостаточно оперативно исправила.
По его мнению, ключевая проблема для Apple и других компанийзаключается в том, что вопросами безопасности руководят люди, у которых оченьсильный академический бэкграунд, но которые не слишком плотно работалинепосредственно с уязвимостями и эксплойтами к ним. Как отметил Бир, каждый багдолжен стать «уроком», который будет вызывать у ведущего эксперта по безопасностиряд конкретных вопросов: «Почему этот баг возник? Как он используется? Какимобразом мы проглядели его раньше? Какие проблемы с процессом разработкинеобходимо решить, чтобы мы могли обнаруживать такие ошибки раньше? У кого былдоступ к этому коду и кто занимался его аудитом, и по какой причине об ошибкене было доложено наверх?», — отметил Бир.
Иллюзия прогресса
Подход к индивидуальному исправлению каждого бага Бир назвалтупиковым путем, который «только создает иллюзию прогресса».
«Профилактический подход к безопасности давно уже считаетсянамного более адекватным и ответственным, нежели "реактивный", когдаразработчик только исправляет выявленные оплошности, а первопричина никуда недевается, — говорит Олег Галушкин,эксперт по информационной безопасности компании SEC Consult Services. — Но тутстоит признать: Apple, быть может, и заслуживает критики за свой нынешнийподход к разработке, однако защита от наиболее распространенных проблем скибербезопасностью в iOS реализована на более чем достойном уровне».
Бир также предложил Apple перечислить $2,5 млн на счетаправозащитного движения Amnesty International, напомнив, что производительiPhone пообещал выплачивать вознаграждения экспертам, которые напрямую неучаствовали в официальной программе поиска уязвимостей Apple, а такжепереводить средства благотворительным организациям по их выбору.
Обнаруженные им почти три десятка уязвимостей Бироценил как раз в $2,5 млн. Что касается Amnesty International, то этаорганизация, как и многие другие правозащитные движения и активисты, впоследние годы подвергались атакам с использованием кибероружия, известного какPegasus (его легально распространяет израильская компания NSO Group). Pegasusиспользовал сразу три уязвимости в iOS, долгое время остававшихся неизвестными(хотя атакам подвергались и смартфоны на базе Android).
Источник: CNEWS