Google Project Zero vs Apple: Μερικά από τα μεγαλύτερα ονόματα στον τομέα της έρευνας για ευπάθειες του iPhone ανακοινώσαν ότι δεν θα πάρουν μέρος στο νέο πρόγραμμα Security Research Device (SRD) της Apple λόγω των περιοριστικών κανόνων της εταιρείας στη διαδικασία αποκάλυψης μιας ευπάθειας.
Η λίστα συμπεριλαμβάνει και το Project Zero (την ελίτ bug-hunting ομάδα της Google), ο Will Strafach (Διευθύνων Σύμβουλος της εταιρείας ασφάλειας Guardian), την ZecOps (εταιρεία ασφάλειας κινητής που πρόσφατα ανακάλυψε μια σειρά επιθέσεων iOS) και ο Axi0mX (ερευνητής iOS και συγγραφέας του Checkm8 iOS exploit).
Τι είναι το πρόγραμμα Apple SRD
Το πρόγραμμα Security Research Device (SRD) είναι μοναδικό μεταξύ των κατασκευαστών smartphone. Μέσω του προγράμματος SRD, η Apple υποσχέθηκε να διαθέτει το iPhone πριν από την πώληση του σε ερευνητές ασφαλείας.
Αυτά τα iPhone έχουν τροποποιηθεί ώστε να έχουν λιγότερους περιορισμούς και επιτρέπουν βαθύτερη πρόσβαση στο λειτουργικό σύστημα iOS και στο hardware της συσκευής, έτσι οι ερευνητές ασφαλείας μπορούν να εντοπίσουν σφάλματα που κανονικά δεν θα μπορούσαν να ανακαλύψουν σε τυπικά iPhone όπου οι προεπιλεγμένες λειτουργίες ασφαλείας του τηλεφώνου εμποδίζουν τα εργαλεία ασφαλείας να “δουν” βαθύτερα στο τηλέφωνο.
Η Apple ανακοίνωσε επίσημα το πρόγραμμα SRD τον Δεκέμβριο του 2019, όταν επέκτεινε επίσης το πρόγραμμα bug bounty για να συμπεριλάβει περισσότερα από τα λειτουργικά συστήματα και πλατφόρμες της.
Περιοριστικός νέος κανόνας
Ένας ιστότοπος της εταιρείας περιέχει όλους τους επίσημους κανόνες του προγράμματος SRD. Σύμφωνα λοιπόν με καταγγελίες που μοιράστηκαν σε διάφορα μέσα κοινωνικής δικτύωσης, ένας συγκεκριμένος κανονισμός εξόργισε τους περισσότερους ερευνητές ασφαλείας:
“Εάν αναφέρετε μια ευπάθεια που επηρεάζει τα προϊόντα της Apple, η Apple θα σας δώσει μια ημερομηνία δημοσίευσης (συνήθως την ημερομηνία κατά την οποία η Apple θα κυκλοφορήσει την ενημέρωση για την επίλυση του προβλήματος). Η Apple θα εργαστεί με καλή πίστη για να επιλύσει κάθε ευπάθεια το συντομότερο δυνατό. Πριν την ημερομηνία δημοσίευσης, δεν μπορείτε να συζητήσετε την ευπάθεια με άλλους.”
Ο νέος κανονισμός επιτρέπει στην Apple να φιμώνει τους ερευνητές ασφαλείας.
Δίνει στην Apple πλήρη έλεγχο στην διαδικασία αποκάλυψης ευπάθειας, αφού της επιτρέπει να ορίσει την ημερομηνία δημοσίευσης. Μέχρι τότε δεν επιτρέπεται στους ερευνητές ασφαλείας να μιλούν ή να δημοσιεύουν οτιδήποτε για τις ευπάθειες που ανακαλύπτουν στο iOS και το iPhone, μέσω του προγράμματος SRD.
Πολλοί ερευνητές ασφαλείας φοβούνται τώρα ότι η Apple θα κάνει κατάχρηση αυτής ρου κανονισμού και θα καθυστερήσει σημαντικά με τις επιδιορθώσεις, αφού δεν θα φοβάται για κάποια δημοσίευση που θα αποκαλύπτει την ευπάθεια.
Ο πρώτος που παρατήρησε αυτό τον κανονισμό και κατάλαβε τις επιπτώσεις του ήταν ο Ben Hawkers, ο επικεφαλής της ομάδας του Google Project Zero.
“Φαίνεται ότι δεν θα είμαστε σε θέση να χρησιμοποιήσουμε το ‘SRD’ της Apple λόγω των περιορισμών στην αποκάλυψη ευπάθειας, οι οποίοι φαίνεται να έχουν σχεδιαστεί ειδικά για να αποκλείσουν το Project Zero και άλλους ερευνητές που χρησιμοποιούν την πολιτική των 90 ημερών”, ανέφερε ο Hawkes στο Twitter σήμερα.
Το tweet του Hawkes φυσικά τράβηξε την προσοχή της infosec κοινότητας.
Στο Twitter, η εταιρεία ασφάλειας ZecOps ανακοίνωσε επίσης ότι θα αφήσει το πρόγραμμα SRD και θα συνεχίσει να χακάρει τα iPhone με τον παλιό τρόπο.
ZecOps will not use the "dedicated research device" released by @Apple due to the program's restrictions and minimal benefits. We will continue to report bugs to Apple because it's the right thing to do.
Instead of releasing dedicated research device we encourage Apple to …
— ZecOps – A Jamf Company (@ZecOps) July 22, 2020
Ο ερευνητής ασφαλείας Axi0mX ανέφερε στο ZDNet ότι σκέφτεται να μην συμμετάσχει επίσης.
“Η Apple απαιτεί από τους ερευνητές να περιμένουν απεριόριστο χρονικό διάστημα, κατά τη διακριτική ευχέρεια της Apple, πριν μπορέσουν να αποκαλύψουν τυχόν σφάλματα που εντόπισαν στο SRD. Δεν υπάρχει κάποια προθεσμία.”
Ο Alex Stamos, πρώην Διευθυντές Ασφαλείας Πληροφοριών του Facebook, επέκρινε επίσης την κίνηση της Apple, η οποία είναι μέρος ενός ευρύτερου συνόλου αποφάσεων που έλαβε η εταιρεία τους τελευταίους μήνες κατά της ερευνητικής κοινότητας για την ασφάλεια στον κυβερνοχώρο και τις ευπάθειες.
Τα προγράμματα ασφαλείας της Apple δεν πάνε καλά
Οι φόβοι ότι η Apple ενδέχεται να καταχραστεί τους κανόνες του προγράμματος SRD για να θάψει σημαντικά σφάλματα του iOS είναι δικαιολογημένοι, για όσους έπαιρναν μέρος στα προγράμματα ασφαλείας της Apple. Η Apple έχει κατηγορηθεί για την ίδια ακριβώς πρακτική και στο παρελθόν.
Σε μια σειρά tweets που δημοσιεύτηκαν τον Απρίλιο, ο προγραμματιστής macOS και iOS, Jeff Johnson, επιτέθηκε στην εταιρεία επειδή δεν ήταν αρκετά σοβαρή με την ασφάλειά της.
“Σκέφτομαι να αποχωρήσω από το πρόγραμμα Apple Security Bounty”, δήλωσε ο Johnson. “Δεν βλέπω στοιχεία που να δείχνουν ότι η Apple είναι σοβαρή για το πρόγραμμα. Έχω ακούσει μόνο για μια πληρωμή και το σφάλμα δεν ήταν καν για συγκεκριμένο Mac. Επίσης, η Apple Product Security αγνόησε το τελευταίο μου email για εβδομάδες.
Η Apple ανακοίνωσε το πρόγραμμα τον Αύγουστο, δεν το άνοιξε μέχρι λίγες μέρες πριν από τα Χριστούγεννα και τώρα δεν έχουν πληρώσει ούτε έναν ερευνητή ασφαλείας που γνωρίζω. Είναι αστείο. Πιστεύω ότι ο στόχος τους είναι απλώς να κρατήσει τους ερευνητές σιωπηλούς για τα σφάλματα για όσο το δυνατόν περισσότερο”, ανέφερε ο Johnson.