Отчет: Побочный эффект усиления Apple своих «огороженных садов» — лучшие укрытия для элитных хакеров

Michael Potuck | Понедельник, 1 марта, 2021, 09:18.

Avatar for Michael Potuck
 | 1 марта 2021 г. — 10:46 PT
Stainless Steel Facade

В новом отчете MIT Technology Review рассматривается постоянная работа Apple над безопасностью устройств и программного обеспечения, а также возможные непреднамеренные последствия. Хотя почти все эксперты согласны с тем, что подход Apple к iPhone «огороженному саду» решил серьезные проблемы с безопасностью, некоторые выражают обеспокоенность тем, что он также предоставляет лучшим хакерам мира лучшие укрытия.

«Это палка о двух концах», — говорит Билл Марчак, старший научный сотрудник надзорной организации по кибербезопасности Citizen Lab. «Вы не будете допускать многого мусора, затруднив взлом iPhone. Но 1% лучших хакеров найдут способ проникнуть, и, оказавшись внутри, неприступная крепость iPhone защитит их».

Марчак был ведущим автором отчета «The Great iPwn», который подробно рассматривал, как работала уязвимость iMessage с нулевым кликом, с помощью которой были взломаны устройства журналистов Al Jazeera.

Его основная обеспокоенность направлением все более строгой защиты устройств Apple заключается в том, что исследователям безопасности становится все труднее обнаруживать вредоносную активность.

Он утверждает, что, хотя безопасность iPhone становится все более надежной, поскольку Apple инвестирует миллионы в возведение стены, лучшие хакеры имеют свои миллионы для покупки или разработки эксплойтов с нулевым кликом, которые позволяют им незаметно захватывать iPhone. Это позволяет злоумышленникам проникать в закрытые части телефона, не давая жертве никаких признаков компрометации. И как только они оказываются так глубоко внутри, безопасность становится барьером, который мешает следователям замечать или понимать злонамеренное поведение — до такой степени, что Марчак подозревает, что они упускают почти все атаки, поскольку не могут заглянуть за завесу.

Хотя обновления Apple исправляют уязвимости и ошибки, они также могут нарушить работу инструментов, используемых исследователями.

Иногда закрытая система может дать сбой еще более непосредственно. Когда Apple выпустила новую версию iOS прошлым летом во время расследования Марчака, новые функции безопасности телефона уничтожили неавторизованный инструмент «джейлбрейка», который Citizen Lab использовала для открытия iPhone. Обновление заблокировало ему доступ к частным областям телефона, включая папку для новых обновлений — которая, как оказалось, была именно тем местом, где прятались хакеры.

Столкнувшись с этими препятствиями, «мы просто развели руками», — говорит Марчак. «Мы ничего не можем от этого получить — просто никак».

MIT также поговорил с исследователем безопасности, который имеет гораздо более редкий доступ к одобренному Apple приложению для исследований под названием iVerify:

Райан Сторц — инженер по безопасности компании Trail of Bits. Он руководит разработкой iVerify, редкого одобренного Apple приложения для безопасности, которое делает все возможное, чтобы заглянуть внутрь iPhone, оставаясь при этом в рамках правил, установленных в Купертино. iVerify ищет аномалии безопасности на iPhone, такие как необъяснимые изменения файлов — косвенные улики, которые могут указывать на более глубокую проблему. Установка приложения похожа на установку растяжек в крепости iPhone: если что-то выглядит не так, как вы ожидали, вы знаете, что проблема существует.

Но, как и системы, используемые Марчаком и другими, приложение не может напрямую наблюдать неизвестное вредоносное ПО, которое нарушает правила, и ему запрещено считывать память iPhone так же, как это делают приложения безопасности на других устройствах. Растяжка полезна, но это не то же самое, что охранник, который может обойти каждую комнату в поисках захватчиков.

Хотя Сторц признает трудности с обнаружением уязвимостей на устройствах Apple, он считает, что закрытый подход правильный. «Когда мы все это закрываем, вы уменьшаете ущерб от вредоносного ПО и шпионажа», — говорит он.

И, как мы видели прошлой осенью с появлением первых Mac на Apple Silicon M1, безопасность ноутбуков и настольных компьютеров компании повысилась.

«iOS невероятно безопасна. Apple увидела преимущества и уже давно переносит их на Mac, а чип M1 — огромный шаг в этом направлении», — говорит исследователь безопасности Патрик Уордл.

Mac двигались в этом направлении годами до появления нового оборудования, добавляет Уордл. Например, Apple не разрешает инструментам безопасности Mac анализировать память других процессов, запрещая приложениям проверять любую комнату в замке, кроме своей собственной.

Уордл добавил, что «инструменты безопасности полностью слепы, и злоумышленники это знают», а это означает, что игра в прятки между Apple и хакерами высокого уровня развивается и продолжается.

Другие ожидают, что Android и Windows последуют примеру Apple в подходе к безопасности устройств с ограниченным доступом.

Дело не только в Apple, говорит Аарон Кокерилл, главный специалист по стратегии мобильной компании безопасности Lookout: «Android становится все более закрытым. Мы ожидаем, что и Mac, и, в конечном итоге, Windows будут все больше походить на непрозрачную модель iPhone».

Наконец, в отчете говорится о подходе, при котором Apple теоретически могла бы предоставлять исследователям ограниченные права, чтобы у них было больше доступа для обнаружения скрытых уязвимостей или вредоносных эксплойтов. Но проблема здесь та же, о которой Apple говорит с дела Сан-Бернардино: если она создает исключение или бэкдор для исследователей, им в конечном итоге воспользуются злонамеренные хакеры.

Apple и независимые эксперты по безопасности согласны: нет простого решения. Apple твердо уверена, что идет на правильные компромиссы, заявила недавно представитель компании в телефонном интервью. Купертино утверждает, что никто убедительно не продемонстрировал, что ослабление мер безопасности или предоставление исключений в конечном итоге послужит общему благу.

Что касается будущего, Райан Сторц из Trail of Bits считает, что мы движемся к тому, что обычные пользователи будут полагаться на мобильные устройства:

«Мы движемся к тому, что только аутсайдеры будут иметь компьютеры — люди, которым они нужны, например, разработчики. Широкая публика будет использовать мобильные устройства, которые уже находятся в парадигме «огороженного сада». Это будет расширяться. Вы будете аутсайдером, если не находитесь в «огороженном саду»».