Видео: iOS 14 Hands-On: Everything New! (Септември 2024)
Наскоро Apple поправи една от най-лошите грешки в сигурността, открита някога в iOS, която позволи на обаждащия се FaceTime да чуе какво говорят хората, преди да отговори на повикването. И така, какво се обърка и можем ли да предотвратим друга подобна катастрофа?
Apple не прави публично достъпен изходния код за своите операционни системи и приложения. Само собствените инженери, разработчици и служители по осигуряване на качеството тестват и коригират грешки в приложенията си. И Apple изисква от своите служители да подписват строги споразумения за неразгласяване на своите продукти. Този подход в градината на стените означава, че трябва да се доверим на Apple да доставя сигурни продукти.
Въпреки това Apple има един от най-стабилните процеси за разработка на софтуер. Репутацията му е подкрепена от повече от четири десетилетия на доставяне на сигурни и надеждни приложения и продукти. Но от време на време провалите в сигурността чрез неизвестност - в зависимост от секретността, за да се гарантира сигурността - се връщат към дома. Грешката в FaceTime беше пример.
В сравнение със сложните грешки в сигурността, които изискват ресурси и опит за откриване и експлоатация, грешката FaceTime беше тривиална. Всъщност това бе открито от 14-годишен, който играеше Fortnite с приятелите си.
Но това повдига въпрос: как една компания с целостта на Apple може да пропусне такъв очевиден недостатък в едно от най-използваните си приложения? Умишлено ли е причинена от недоволен служител, който искаше отмъщение? Беше имплантирана от правителството задна врата? Беше ли честна грешка на един милион, която можеше да се промъкне през защитата на дори най-надеждната компания?
Трудно е да се отговори на този въпрос независимо. Трябва да разчитаме на каквато и информация ни дава Apple. И досега Apple не е казала много, освен че е отстранила недостатъка в iOS 12.1.4 и ще възнаграждава тийнейджърката в Аризона, която за първи път съобщи за бъда.
Вероятно също никога няма да разберем кога е започнал експлоатацията. Според докладите, грешката се прилага за всички устройства, работещи под iOS 12.1 или по-нова версия. Издаден на 30 октомври 2018 г., iOS 12.1 добави Group FaceTime, функцията, която съдържаше подслушвателния бъг. Но е трудно да си представим, че бъг в открито движение на стотици милиони устройства ще остане неоткрит в продължение на няколко месеца. Може би грешката беше представена по-скоро, тъй като екипът за разработка на Apple направи актуализации на софтуера на страната на сървъра на FaceTime. Отново няма да знаем, ако Apple не ни каже.
За разлика от това, много организации имат политика с отворен код, пускайки пълния изходен код на приложенията си в платформи като GitHub и го правят на разположение за всеки, който може да прегледа. След това независими експерти и разработчици могат да проверят сигурността на приложението.
Практиката става все по-популярна през последните няколко години и дори привлича някои исторически стегнати участници.
- iOS 12.1 коригира проблема с iPhone с гладка кожа Selfie iOS 12.1 коригира проблема с iPhone с гладка кожа Selfie
- Готови ли сте за видео чат? Как да групирате FaceTime, готов за видео чат? Как да групирате FaceTime
- Най-новата актуализация за iOS на Apple коригира ужасяваща грешка в FaceTime Последната актуализация на iOS актуализира страшна грешка в FaceTime
Чудесен пример за прозрачност е приложението за сигурно съобщение Signal. Open Whisper Systems, компанията, която разработва Signal, публикува изходния код на всички версии на приложението си на GitHub. Цялата история на изходния код на приложението, неговите участници и промените, направени в приложението, са видими за всички. Изходният код на Signal е прегледан от стотици експерти и е спечелил одобрението на лидерите в индустрията като Брус Шнайер, Едуард Сноудън и Мат Грийн.
Това означава ли, че приложенията с отворен код нямат недостатъци в сигурността? Далеч от това. Приложенията със стотици хиляди редове код са сложни творения и са трудни за осигуряване, независимо колко очи преглеждат кода.
Всъщност Signal е изкривил няколко свои неприятни грешки, включително един, който ще позволи на хакерите да откраднат вашите чатове в обикновен текст. Но за разлика от приложенията със затворен код като FaceTime, всеки може лесно да проследи източника и причините за недостатъци в приложения като Signal, както и кога са възникнали и коя промяна на кода или нова функция ги е причинила. Но в случай на грешка FaceTime, ще трябва да спекулираме.
Прозрачността създава доверие. Непокритието го унищожава.
