| 26 августа 2016 г. — 7:26 PT
Одно из главных преимуществ экосистемы Apple заключается в том, что это довольно безопасная среда. Возьмем, к примеру, OS X (скоро macOS). Первый случай вымогательского ПО для OS X, замеченного в реальном использовании, произошел ранее в этом году, и это стало крупной новостью. Другое вредоносное ПО для Mac существует, но оно настолько редко, что отдельные примеры попадают в новости — и большинство из них требует от пользователей сделать что-то безответственное, например, установить программное обеспечение из неизвестного источника.
Сравните это с Windows, где, по сообщениям BBC, количество циркулирующих вирусов, червей и троянов превысило отметку в один миллион еще в 2008 году. Это может быть несколько преувеличено, но большинство источников сходятся во мнении, что это число исчисляется шестизначными цифрами.
iOS — еще более безопасная платформа. Конечно, если вы сделаете джейлбрейк iPhone, все ставки сняты, и существуют способы установки подозрительных приложений на устройства iOS с использованием корпоративного сертификата. Но при отсутствии этих двух факторов только в этом году был найден первый пример вредоносного ПО для iOS…
Ничто из вышеперечисленного не означает, что iOS идеальна. Любая система, созданная людьми, будет иметь уязвимости в безопасности, и они существуют в iOS. Именно через неучтенную уязвимость — «уязвимость нулевого дня» — частная компания смогла взломать iPhone из Сан-Бернардино для ФБР, и именно поэтому компании с черными шляпами будут перебивать предложения Apple, пытаясь заполучить их.
Но подавляющее большинство обнаруженных в iOS уязвимостей довольно безобидны, предоставляя очень ограниченный доступ при очень специфических обстоятельствах. В большинстве случаев исследователь безопасности с белым воротничком обнаружит одну, сообщит о ней Apple, а затем будет ждать, пока компания выпустит обновленную версию iOS для ее исправления, прежде чем делиться деталями с миром.
Однако иногда обнаруживается очень серьезная уязвимость — и именно это произошло здесь. Уязвимость, исправленная в iOS 9.3.5, касалась настолько серьезной бреши, что простое нажатие на ссылку давало злоумышленникам полный контроль над iPhone. По сути, это был способ удаленно взломать iPhone пользователя, без его ведома. Серьезнее этого быть не может.
Тем не менее, почти никто из нетехнических пользователей не осведомлен об этой проблеме. Большинство пользователей iPhone и iPad по-прежнему используют последнюю версию iOS, которую они смогли обновить, когда у них было время. Никто не постучал им по плечу и не сказал: «Эй, я знаю, что большинство точечных обновлений iOS для вас не имеют большого значения, но это действительно важно».
Apple была удивительно сдержанна в этом вопросе. Конечно, компания описала это как «важное обновление безопасности», но даже заметка по безопасности, позже добавленная на сайт поддержки, не кричит об этом. Самая серьезная из трех исправленных проблем указана последней, с простой строкой: «Посещение злонамеренно созданного веб-сайта может привести к выполнению произвольного кода».
Было бы легко обвинить Apple в том, что она ставит PR выше безопасности своих клиентов, не прилагая особых усилий, чтобы подчеркнуть важность обновления и довести его до сведения нетехнических клиентов. Но реальность такова, что Apple находится в безвыходной ситуации.
Дилемма заключается в следующем. Хотя об уязвимости знают немногие, это включает в себя и злоумышленников, которые иначе могли бы ее использовать. Если Apple будет кричать об этом, клиенты узнают об этом — и многие оперативно обновятся — но то же самое сделают и злоумышленники, которые бросятся этим воспользоваться.
Можно привести аргументы с обеих сторон, чтобы показать, что подход Apple правильный или неправильный, в зависимости от вашей точки зрения. Но простого ответа нет. Оба подхода сопряжены с рисками. Если сохранить молчание, больше клиентов будут в опасности, пока не обновятся; если поднять шум, больше преступников и подозрительных правительств воспользуются уязвимостью.
Если вы склоняетесь к тому, что лучше держать вещи в тайне, вы также можете утверждать, что мне не стоило писать эту статью. Но я считаю, что к настоящему моменту достаточное количество людей, которые специально отслеживают уязвимости iOS — тех людей, о которых мы не хотим, чтобы они знали — уже осведомлены. Те, кто не знает — это владельцы iPhone, далекие от технологий, которые небрежно относятся к обновлениям.
Так что, если вы еще не обновились, сделайте это (или последняя бета-версия iOS 10 тоже подойдет). И сделайте одолжение своим друзьям, далеким от технологий, и убедитесь, что они тоже обновятся. Этот джинн уже вылетел из бутылки.
Фото: iUpdateOS; Crafty.se; EverythingApplePro. Эта статья была подготовлена при обсуждении между Zac Hall и Greg Barbosa.