האם ios מאובטח לאחר תיקון באגים בפנים? איש אינו יודע | בן דיקסון

אפל תיקנה לאחרונה את אחד מבאגי האבטחה הגרועים ביותר שהתגלו אי פעם ב- iOS, מה שאפשר למתקשר FaceTime לשמוע מה אנשים אומרים לפני שהם ענו לשיחה. אז מה השתבש, והאם ניתן למנוע אסון דומה נוסף?

אפל לא הופכת את קוד המקור למערכות ההפעלה והיישומים שלה לרשות הציבור. רק המהנדסים, המפתחים וצוות אבטחת האיכות של החברה בודקים ומתקנים שגיאות ביישומים שלה. ואפל דורשת מעובדיה לחתום על הסכמי אי-גילוי מחמירים על מוצריה. הגישה הזו עם חומה-גינה פירושה שעלינו לסמוך על אפל שתספק מוצרים מאובטחים.

עם זאת, לאפל יש אחד מתהליכי פיתוח התוכנה החזקים ביותר. המוניטין שלה מגובה ביותר מארבעה עשורים של אספקת יישומים ומוצרים מאובטחים ואמינים. אבל מדי פעם הכישלונות של אבטחה דרך אפלולית - תלוי בסודיות כדי להבטיח ביטחון - פגעו בבית. דוגמת הבאג FaceTime.

בהשוואה לבאגי אבטחה מורכבים הדורשים משאבים ומומחיות כדי לגלות ולנצל, החיידק FaceTime היה טריוויאלי. למעשה, זה התגלה על ידי ילד בן 14 ששיחק את Fortnite עם חבריו.

אבל זה מעלה שאלה: כיצד יכולה חברה עם היושרה של אפל לפספס פגם כה בולט באחד היישומים הנפוצים ביותר שלה? האם זה נגרם במכוון על ידי עובד ממורמר שרצה לנקום? האם זה היה דלת אחורית שהושתלה על ידי הממשלה? האם הייתה זו טעות כנה, אחת למיליון, שיכולה לעבור דרך ההגנות של אפילו החברה האמינה ביותר?

קשה לענות על שאלה זו באופן עצמאי. עלינו לסמוך על כל מידע שאפל נותנת לנו. ועד כה אפל לא אמרה הרבה מלבד העובדה שהיא פיתחה את הפגם במערכת iOS 12.1.4 ותגמל את המתבגר באריזונה שדיווח לראשונה על התקלה.

כנראה שגם לעולם לא נדע מתי החל המנצל. על פי הדיווחים, הבאג חל על כל המכשירים שבהם פועל iOS 12.1 ואילך. פורסם ב- 30 באוקטובר 2018, iOS 12.1 הוסיפה את Group FaceTime, התכונה שהכילה את באג הציתות. אך קשה לדמיין כי באג בשטח הפתוח במאות מיליוני מכשירים יישאר בלתי מגלה במשך מספר חודשים. אולי הבאג הוצג לאחרונה יותר מאחר וצוות הפיתוח של אפל עדכן את התוכנה בצד השרת של FaceTime. שוב, לא נדע אלא אם כן אפל תגיד לנו.

לעומת זאת, לארגונים רבים קיימת מדיניות קוד פתוח, ומשחררת את קוד המקור המלא של היישומים שלהם בפלטפורמות כמו GitHub והופכת אותה לזמינה עבור כל אחד לביקורת. מומחים ומפתחים עצמאיים יכולים לאחר מכן לאמת את האבטחה של היישום.

התרגיל הפך פופולרי יותר ויותר בשנים האחרונות ואף משך אליו כמה משתתפים עם שפתיים צמודות.

• iOS 12.1 מתקן את בעיית ה- Selfie של העור החלק החלק של iPhone. iOS 12.1 מתקן את הבעיה של ה- iPhone החלקלק בעור
• מוכנים לווידיאו צ'אט? כיצד לקבץ FaceTime מוכן לווידיאו צ'אט? כיצד לקבץ FaceTime
• עדכון ה- iOS האחרון של אפל מתקן באג FaceTime מפחיד עדכון ה- iOS האחרון של אפל מתקן באג FaceTime מפחיד

דוגמה נהדרת לשקיפות היא אפליקציית ההודעות המאובטחת Signal. חברת Open Whisper Systems, החברה שמפתחת את Signal, פרסמה את קוד המקור של כל גרסאות היישום שלה ב- GitHub. כל ההיסטוריה של קוד המקור של האפליקציה, התורמים שלה והשינויים שבוצעו באפליקציה גלויים לכולם. קוד המקור של Signal נבדק על ידי מאות מומחים וזכה לאישורם של מנהיגים בתעשייה כמו ברוס שנייר, אדוארד סנודן ומאט גרין.

האם המשמעות היא שליישומי קוד פתוח אין פגמי אבטחה? רחוק מזה. יישומים עם מאות אלפי שורות קוד הן יצירות מורכבות וקשות לאבטחה, לא משנה כמה עיניים בודקות את הקוד.

לאמיתו של דבר, איתות גידף כמה באגים מגעילים משל עצמם, כולל כזה שיאפשר להאקרים לגנוב את הצ'אטים שלך בטקסט רגיל. אך בניגוד ליישומים עם מקור סגור כמו FaceTime, כל אחד יכול לעקוב בקלות אחר המקור והסיבות לפגמים באפליקציות כמו אות, כמו גם מתי מקורם ואיזה שינוי קוד או תכונה חדשה גרמו להם. אבל במקרה של באג FaceTime, נצטרך לשער.

שקיפות מבססת אמון. הערפול הורס אותה.