Было время — не так давно — когда только технические специалисты слышали о шпионском программном обеспечении, таком как Pegasus. Но если вы пойдете на вечеринку в наши дни, есть большая вероятность, что гости в конечном итоге заговорят о прослушиваемых iPhone. И трудно придумать более очевидный признак того, что что-то серьезно пошло не так для Apple.
Самое страшное в откровениях Пегаса — это идея невидимого наблюдения. Очевидно, что NSO-разработчик Pegasus и страны, использующие его программное обеспечение, больше заинтересованы в содержимом телефонов, принадлежащих главам государств, активистам и политическим журналистам, чем у среднего владельца iPhone — но страшно подумать, что они могли бы взглянуть, если бы в розыске. (Если вы беспокоитесь, прочтите, как проверить, не заражен ли ваш iPhone шпионским ПО NSO Pegasus.)
Pegasus может использоваться и использовался на телефонах Android, но гораздо больше внимания было уделено тому факту, что он работает на iPhone. The Washington Post описывает, как iPhone 11 жены марокканского диссидента был взломан, отправив ей iMessage: так называемую атаку с нулевым щелчком, которая произошла, когда она находилась во Франции. Кажется, что даже обновление до последней версии iOS не обеспечивает защиты.
Возможно, такая озабоченность iPhone немного несправедлива по отношению к Apple, которая, кажется, всегда справляется с большей долей негативных заголовков (на Macworld US Macalope опровергает это восприятие и называет угрозу "много шума по поводу Android" ), но это также не совсем необоснованно, потому что сама компания из Купертино так усердно работала над созданием имиджа iPhone как идеального образца безопасности и конфиденциальности.
Содержание статьи
Гениальные хакеры или беспечная Apple?
В недавнем прошлом iPhone считался в значительной степени защищенным от атак хакеров и правительственных секретных служб: даже юристы и журналисты слишком наивно доверяли обещанию Apple, что никто не сможет получить доступ к данным на их устройствах. Но вопрос не в том, как это произошло; вопрос в том, можно ли винить Apple. Является ли Apple просто жертвой изобретательных хакеров, или мы можем обвинить Купертино в сочетании ложных рекламных обещаний, халатности и жадности?
Apple уже получила ответ: Купертино отрицает, что угроза затрагивает многих пользователей. По словам Ивана Крстича, главы отдела безопасности и архитектуры Apple, атаки слишком изощренны для этого. Описанные методы атаки имеют очень короткий срок службы и стоят миллионы на разработку. В результате таким образом будет атаковано лишь небольшое количество ценных людей; он не представляет угрозы для подавляющего большинства пользователей.
Этот аргумент не совсем неверен. База данных из 50 000 телефонных номеров не позволяет сделать однозначных выводов о количестве отслеживаемых людей, но считается, что около 60 клиентов NSO ежегодно отслеживают почти сотню человек.
Эти относительно низкие цифры, однако, не будут утешением для таких жертв, как Хатидже Дженгиз, невеста Джамаля Хашогги. Согласно анализу лаборатории безопасности Amnesty International, iPhone Ченгиза несколько раз взламывали всего через четыре дня после убийства журналиста и диссидента, хотя Национальная статистическая служба это отрицает.
Как и многие пользователи iPhone, Дженгиз спросит, почему ей сказали, что устройство безопаснее других телефонов. Apple неоднократно обещала высокий уровень безопасности данных. Некоторые задаются вопросом, не являются ли это пустыми обещаниями.
Проблемы с iMessage
Pegasus не использует сторонние программы для доступа к iPhone. Жертвы часто подвергаются атакам через приложения Apple, такие как Сообщения (iMessage), Apple Music, Photos, FaceTime и Safari, а исследование Amnesty International показывает, что именно iMessage предоставляет уязвимости, используемые хакерами.
По мнению экспертов, у Apple большие проблемы с удалением уязвимостей из iMessage. Одна из причин, по-видимому, заключается в том, что приложение постоянно снабжается новыми функциями, такими как Memoji и стикеры, которые постоянно предоставляют новые потенциальные точки атаки — каждая новая функция делает приложение более привлекательным для пользователей, но также более уязвимым для хакеров. Есть также удобные аспекты, облегчающие атаки: например, способность (и правдоподобность) незнакомца отправить вам сообщение.
Apple знает об этих проблемах. Чтобы справиться с ними, он опирается на новые функции безопасности, такие как BlastDoor, который автоматически проверяет файлы изображений и веб-превью и предназначен для защиты от вредоносных программ.
Но BlastDoor может быть недостаточно. Некоторые эксперты по безопасности рекомендуют полностью отключить iMessage.
Работа с уязвимостями
Очевидно, что есть возможности для улучшения работы с уязвимостями.
Apple запускает программу вознаграждения за ошибки, предлагая платить независимым исследователям, сообщающим о недостатках системы. Это разумная идея, но Apple кажется скупой и нерешительной в том, как она работает с сообщениями об ошибках. Разработчик Николас Бруннер, например, назвал программу ложью; он сообщил об ошибке в Apple, процесс затянулся на 14 месяцев и в конечном итоге был проигнорирован. «На сегодняшний день, — пишет он, — Apple отказывается от выплаты вознаграждения, хотя отчет явно соответствует их собственным правилам»
.
Это особенно вопиюще, потому что исследователи, обнаружившие недостатки iOS, знают, что им может заплатить другая сторона. Компании, с которыми работает NSO, будут платить большие деньги за уязвимости iOS.
Apple часто поступает по-своему. Например, маркетинговый отдел компании считается препятствием на пути к неизменно высоким стандартам безопасности, потому что, по словам бывшего сотрудника, он настаивает на использовании определенных заранее определенных сообщений при общении с внешними экспертами по безопасности.
Apple, конечно, не единственный производитель смартфонов, подвергшийся нападкам. Как упоминалось ранее, Pegasus не пожалел Android-смартфоны. Фактически, влияние на Android может быть хуже, потому что следы Пегаса труднее идентифицировать на этой платформе. Возможно, именно поэтому айфоны были так заметны среди выявленных случаев.
Но что может сделать Apple? Компания, похоже, неосторожно направила шквал новых функций в iMessage, и ей необходимо сделать свое чат-приложение более безопасным. Его отношения с исследователями безопасности можно улучшить с помощью крошечных финансовых затрат и небольшой доброй воли при обнаружении уязвимостей.
Apple, возможно, стоит создать организацию по активному поиску уязвимостей в духе Группы анализа угроз Google. С такой организацией Apple могла бы не только обеспечить большую безопасность, но и улучшить свой имидж. Однако отдел маркетинга Apple, вероятно, наложит вето на этот план, что дает представление о фундаментальной проблеме.
Эта статья изначально была опубликована на Macwelt. Перевод Дэвида Прайса.
