Technikos pasaulio stebėtojai sako, kad ši spraga – apie kurią Apple tyliai pranešė penktadienį (02-21) ir pasistengė greitai išplatinti spragą "užlopantį" atnaujinimą – rodo, kad kompanijos stipraus saugumo reputacija gali būti pervertinta.
„Kadangi iš tiesų Apple veikia toje pat srityje, kaip ir bet kuri kita programinės įrangos kūrėja, jiems lygiai taip pat kyla saugumo spragų rizika, kaip ir visiems kitiems.”
Johannesas Ullrichas, Internet Storm Center tyrimų vadovas, stebintis internetines grėsmes, eina dar toliau: jis vadina Apple saugumo reputaciją „mitu“.
Apple naujausia saugumo spraga buvo paviešinta penktadienį, kai buvo išleista iOS 7.0.6 versija, paaiškinus, kad naujausia mobiliosios operacinės sistemos versija ištaisomas nesklandumas, susijęs su saugiu naršymu.
Aiškindama spragą, Apple sakė, kad „atakuotojas, turintis privilegijuotą poziciją tinkle, gali perimti ar pakeisti duomenis SSL/TLS apsaugotose sesijose“.
SSL/TLS yra šifravimo standartas, leidžiantis tinklo naršyklei susisiekti su tinklo serveriu ir patikrinti, ar tinklalapis nėra padirbtas ir sukurtas interneto sukčių, asmeninės informacijos iš jūsų kompiuterio ar mobilaus įrenginio vogti. Jį naudoja bankai, kredito kortelių kompanijos ir vyriausybinės agentūros, siekdamos išlaikyti ryšių slaptumą.
iOS spraga trukdydavo šį procesą, tad, pavyzdžiui, Apple Safari naršyklei būdavo sunku patvirtinti, kad interneto svetainė yra legitimi.
Populiarumas skatina pažeidžiamumą
Tinklaraščio įraše „Kodėl naujausia Apple saugumo spraga yra tokia baisi (Why Apple's Recent Security Flaw Is So Scary),” Gizmodo redaktorius Brianas Barrettas sako, kad dėl šios spragos Apple naudotojai gali nukentėti dėl vadinamos „žmogaus viduryje atakos.” Tokia kriptografinė ataka vyksta tada, kai įsilaužėlis gali perimti bendravimą tarp jūsų naršyklės ir interneto puslapio, nuo asmeninio pokalbio iki finansinės informacijos.
Dėl šios spragos, „kas nors gali apgauti jus prisijungti prie panašiai atrodančios svetainės ir negalėtumėte jos atskirti nuo tikrosios, žvelgdami į SSL informaciją, ateinančią iš tos svetainės,” sako Ullrichas.
Bourne iš SecTor sako, kad Apple saugumo reputacija didžiąja dalimi laikosi dėl to, kad jos operacinė sistema labiau apriboja, ką gali daryti įdiegtos programos.
Bet klientų susižavėjimas tokiais mobiliaisais produktais, kaip iPhone ir iPad padarė Apple labiau patrauklesniu programišių taikiniu, sako Ursas Hengartneris, Waterloo inversiteto kompiuterijos mokslo departamento asocijuotasis profesorius.
„Dauguma [hakingo] išnaudojimų sukuria ir įgyvendina nusikaltėliai, iš to darantys pinigus, tad jie taikosi į populiarias platformas,” sako jis.
Kalbant apie Apple produktus, „nematėme tiek daug saugumo spragų, bent jau viešų,“ sako Hengartneris. Bet jis antrina programinės įrangos bendruomenės daugumai, teigiančiai, kad kai Apple aptinka problemą savo kode, su pataisymais neskuba.
Posūkio taškas?
Bourne'o vertinimu, ši probleminė Apple iOS versija „buvo gatvėje nuo spalio“, kai kompanija pristatė pataisą prblemų užlopymui kartu su naujos operacinės sistemos versijos paleidimu.
Naujausia iOS 7.0.6, versija, Apple teigimu, ištaisė klaidą mobiliuosiuose įrenginiuose. Antradienį Apple išleido OS X 10.9.2, ištaisančią SSL šifravimo klaidą Mac stalo ir nešiojamuosiuose kompiuteriuose.
Bourne'as pažymi, kad Apple reputacija nėra stipri kibersaugumo bendruomenėje, jungiančioje interneto svetaines ir forumus, kuriuose pranešama apie spragas ir dalinamasi pataisomis.
„Manau, kad didžioji dauguma žmonių, kurie stengiasi pranešti apie [programinės įrangos] pažeidžiamumus Apple, liko sumišę, sako Bourne'as. „Jie nedalyvauja saugumo bendruomenėje taip, kaip ” kitos kompanijos, ypač Microsoft, kuri aktyviai bendrauja su bendruomene, ieškodama spragų ir greitai jas ištaisydama.
Saugumo požiūriu Microsoft per pastarąjį dešimtmetį itin smarkiai pažengė į priekį, sako Bourne'as. Dešimtajame XX a. dešimtmetyje ir naujojo tūkstantmečio pradžioje Microsoft išleisdavo tiek daug savo operacinės sistemos saugumo pataisymų, kad jie gavo savo pavadinimą: „Pataisų antradieniai”, vykę kiekvieno mėnesio antrąjį antradienį.
Ulrichas sako, kad Microsoft lūžio momentas buvo Blaster internetinis kirminas, užkrėtęs Windows XP ir Windows 2000 naudojančius kompiuterius 2003-ųjų rugpjūtį. Užkrėtimų mastas privertė Microsoft sutelkti didesnį dėmesį savo operacinių sistemų saugumui, sako jis.
Hengartneris mano, kad su naujausia iOS saugumo spraga, Apple galėjo pasiekti panašų tašką.
„Jie tokioje pat situacijoje, kokioje Microsoft buvo prieš 10 – 15 metų,” sako jis.