Видео: iOS 14 Hands-On: Everything New! (Ноябрь 2024)
Apple недавно исправила одну из худших ошибок безопасности, когда-либо обнаруженных в iOS, что позволило вызывающей стороне FaceTime услышать, что люди говорят, прежде чем они ответят на звонок. Так что же пошло не так, и можем ли мы предотвратить еще одну подобную катастрофу?
Apple не делает общедоступным исходный код своих операционных систем и приложений. Только собственные инженеры, разработчики и специалисты по обеспечению качества компании проверяют и исправляют ошибки в своих приложениях. И Apple требует от своих сотрудников подписывать строгие соглашения о неразглашении своих продуктов. Такой подход к ограждению означает, что мы должны доверять Apple в обеспечении безопасных продуктов.
Тем не менее, Apple имеет один из самых надежных процессов разработки программного обеспечения. Его репутация подкреплена более чем четырьмя десятилетиями предоставления безопасных и надежных приложений и продуктов. Но время от времени неудачи безопасности из-за неясности - в зависимости от секретности для обеспечения безопасности - попадали домой. Ошибка FaceTime была примером.
По сравнению со сложными ошибками безопасности, которые требуют ресурсов и опыта, чтобы обнаружить и использовать, ошибка FaceTime была тривиальной. Фактически, это было обнаружено 14-летним, который играл в Fortnite со своими друзьями.
Но возникает вопрос: как компания с целостностью Apple может упустить такой очевидный недостаток в одном из своих наиболее часто используемых приложений? Это было преднамеренно вызвано недовольным служащим, который хотел отомстить? Был ли это имплантированный правительством черный ход? Было ли это честной ошибкой «один на миллион», которая могла пробиться сквозь защиту даже самой заслуживающей доверия компании?
Трудно ответить на этот вопрос самостоятельно. Мы должны полагаться на любую информацию, которую Apple дает нам. И до сих пор Apple почти ничего не сказала, за исключением того, что она исправила ошибку в iOS 12.1.4 и вознаградит подростка из Аризоны, который первым сообщил о сбое.
Мы также, вероятно, никогда не узнаем, когда началась эксплойт. Согласно сообщениям, ошибка распространялась на все устройства под управлением iOS 12.1 или более поздней версии. Выпущенная 30 октября 2018 года, iOS 12.1 добавила Group FaceTime, функцию, которая содержала ошибку прослушивания. Но трудно представить, что ошибка в открытом доступе на сотнях миллионов устройств останется незамеченной в течение нескольких месяцев. Возможно, ошибка была введена совсем недавно, поскольку команда разработчиков Apple делала обновления для серверного программного обеспечения FaceTime. Опять же, мы не узнаем, если Apple не скажет нам.
Напротив, во многих организациях существует политика открытого исходного кода, которая выпускает полный исходный код своих приложений на таких платформах, как GitHub, и делает его доступным для ознакомления любому. Независимые эксперты и разработчики могут затем проверить безопасность приложения.
В последние несколько лет эта практика становится все более популярной и даже привлекает некоторых исторически скупых участников.
- iOS 12.1 исправляет проблему Selfie с гладкой кожей iPhone iOS 12.1 исправляет проблему Selfie с гладкой кожей iPhone
- Готовы к видеочату? Как сгруппировать FaceTime Ready для видеочата? Как сгруппировать FaceTime
- Последнее обновление Apple от iOS исправляет страшную ошибку FaceTime Последнее обновление Apple от iOS исправляет страшную ошибку FaceTime
Отличным примером прозрачности является приложение для безопасного обмена сообщениями Signal. Open Whisper Systems, компания, которая разрабатывает Signal, опубликовала исходный код всех версий своего приложения на GitHub. Вся история исходного кода приложения, его участников и изменений, внесенных в приложение, видна всем. Исходный код сигнала был рассмотрен сотнями экспертов и получил одобрение лидеров отрасли, таких как Брюс Шнайер, Эдвард Сноуден и Мэтт Грин.
Означает ли это, что у приложений с открытым исходным кодом нет недостатков безопасности? Отнюдь не. Приложения с сотнями тысяч строк кода являются сложными и сложными для защиты, независимо от того, сколько глаз просматривает код.
На самом деле, Signal выпустил несколько собственных неприятных ошибок, в том числе одну, которая позволила хакерам украсть ваши чаты в виде обычного текста. Но в отличие от приложений с закрытым исходным кодом, таких как FaceTime, любой может легко отследить источник и причины недостатков в таких приложениях, как Signal, а также когда они возникли и какое изменение кода или новая функция вызвали их. Но в случае с ошибкой FaceTime, нам придется размышлять.
Прозрачность устанавливает доверие. Непрозрачность разрушает это.