Эксперт по безопасности, нашедший более трех десятков уязвимостей в iOS, считает, что Apple предпочитает заделывать отдельные «баги», а не устранять фундаментальные проблемы в разработке.

Неправильная работа над ошибками

Эксперт по уязвимостям в программном обеспечении, участник Google Project Zero Иен Бир (Ian Beer) в ходе своего выступления на Black Hat в Лас-Вегасе жестко раскритиковал подход Apple к «работе над ошибками».

Бир заявил, что с 2016 г. он нашел более тридцати «багов» в iOS, и что Apple страдает «распространенной болезнью», исправляя конкретные уязвимости, но ничего не делая с системными недочетами, которые приводят к их появлению. В частности, он рассказал об уязвимости, к которой написал эксплойт async_wake для iOS 11.1.2 (и который опубликовал в декабре 2017 г.), а также описал еще несколько «багов», которые Apple недостаточно оперативно исправила.

По его мнению, ключевая проблема для Apple и других компаний заключается в том, что вопросами безопасности руководят люди, у которых очень сильный академический бэкграунд, но которые не слишком плотно работали непосредственно с уязвимостями и эксплойтами к ним. Как отметил Бир, каждый баг должен стать «уроком», который будет вызывать у ведущего эксперта по безопасности ряд конкретных вопросов: «Почему этот баг возник? Как он используется? Каким образом мы проглядели его раньше? Какие проблемы с процессом разработки необходимо решить, чтобы мы могли обнаруживать такие ошибки раньше? У кого был доступ к этому коду и кто занимался его аудитом, и по какой причине об ошибке не было доложено наверх?», — отметил Бир.

Иллюзия прогресса

Подход к индивидуальному исправлению каждого бага Бир назвал тупиковым путем, который «только создает иллюзию прогресса».

«Профилактический подход к безопасности давно уже считается намного более адекватным и ответственным, нежели "реактивный", когда разработчик только исправляет выявленные оплошности, а первопричина никуда не девается, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Но тут стоит признать: Apple, быть может, и заслуживает критики за свой нынешний подход к разработке, однако защита от наиболее распространенных проблем с кибербезопасностью в iOS реализована на более чем достойном уровне».

Бир также предложил Apple перечислить $2,5 млн на счета правозащитного движения Amnesty International, напомнив, что производитель iPhone пообещал выплачивать вознаграждения экспертам, которые напрямую не участвовали в официальной программе поиска уязвимостей Apple, а также переводить средства благотворительным организациям по их выбору.

Обнаруженные им почти три десятка уязвимостей Бир оценил как раз в $2,5 млн. Что касается Amnesty International, то эта организация, как и многие другие правозащитные движения и активисты, в последние годы подвергались атакам с использованием кибероружия, известного как Pegasus (его легально распространяет израильская компания NSO Group). Pegasus использовал сразу три уязвимости в iOS, долгое время остававшихся неизвестными (хотя атакам подвергались и смартфоны на базе Android).

Источник: cnews.ru