جوجل تنبه Apple لإصلاح 10 عيوب أمنية في iPhone
تفخر شركة LAS VEGAS - Apple (AAPL) بأمان أجهزتها المحمولة ، لكن عرضًا الأربعاء في مؤتمر Black Hat الأمني كشف أن الثغرات الحرجة في نظام تشغيل iOS الخاص بـ iPhone قد تركها مفتوحة أمام الهجمات البعيدة التي لم تتطلب واحدة اضغط أو انتقد من قبل المستخدم المستهدف.
مشكلة عدم الحصانة "صفر يوم" ، وهو عيب ليس لدى شركة فكرة وجود ، يتطلب تفاعل صفر من قبل الهدف هو الوقود كابوس في دوائر أمن المعلومات. ولم تتعرف شركة Apple إلا على هذه المشكلة - التي ذُكر أنها استغلت بالفعل من قِبل جهات فاعلة حكومية مثل الإمارات العربية المتحدة - بسبب الأبحاث التي أجراها أحد أكبر منافسيها: Google (GOOG ، GOOGL). بعد يوم في Black Hat ، أعلنت شركة Apple عن توسع كبير في برنامج مكافآت الأخطاء ، والذي يدفع من خلاله مكافآت للباحثين الذين يكشفون عن ثغرات غير مثبتة. إن واحدة من أكثر الشركات العملاقة في مجال التكنولوجيا في أمريكا تفتح أبوابها للمساعدة الأمنية الخارجية هي تقدم كبير ، وهو شيء يجب على عملاء Apple الترحيب به في أوضحت العرض الذي قدمته الأربعاء ، ناتالي سيلفانوفيتش ، وهي باحثة في برنامج البحث عن الأخطاء في مشروع Project Zero الذي أطلقته Google في عام 2014 ، كيف سعت هي وزملاؤها إلى تأكيد الشائعات المستمرة بوجود ثغرات خطيرة في نظام التشغيل iOS. اكتشف العمل اللاحق 10 عيوب ، بعضها يسمح بالوصول عن بعد دون تدخل المستخدم ، في مكونات المراسلة مثل البريد الصوتي المرئي و iMessage. وقال سيلفانوفيتش: "هذه أخطاء يمكن لأي شخص استخدامها من أي مكان لمهاجمة أي شخص." قامت بعرض اثنين أثناء عرضها التقديمي ، أحدهما سمح للمهاجم بنسخ صورة من iPhone المستهدف وآخر أدى إلى قيام المهاجم بفتح تطبيق الحاسبة على iPhone المهاجم. أظهرت شاشة الحاسبة 1،337 - اختصارًا للقراصنة لـ "النخبة" - حيث أشاد الجمهور بالتقدير. مباشرة بعد الحديث ، أضافت مدونة Project Zero تقريرًا مفصلاً من سيلفانوفيتش يشرح هذه النتائج. الأخبار السارة: قامت شركة آبل بإصلاح الـ 10 ، مع منح رصيد لـ Project Zero في ملاحظات إصدار الأمان لتحديث iOS 12.4 الذي كان يجب أن يصل إلى iPhone الخاص بك بالفعل. السيئة: نتج الكثير من هذه الأخطاء عن ميزات iOS التي لم تفيد العملاء. "نشر معظم الثغرات الأمنية في iMessage بسبب سطح الهجوم الواسع والصعب ،" "معظم سطح الهجوم ليس جزءًا من الاستخدام العادي ، وليس له أي فائدة للمستخدمين."بكلمات أقل: التعقيد يقتل.
وقال كورت أوبسال ، نائب المدير التنفيذي والمستشار العام لمؤسسة Electronic Frontier Foundation ، بعد حديث كرستيتش إن شركة آبل "تأخرت في الحفلة" ببرنامجها السابق الحذر ، وأثنت على هذا التوسع.
مشكلة عدم الحصانة "صفر يوم" ، وهو عيب ليس لدى شركة فكرة وجود ، يتطلب تفاعل صفر من قبل الهدف هو الوقود كابوس في دوائر أمن المعلومات. ولم تتعرف شركة Apple إلا على هذه المشكلة - التي ذُكر أنها استغلت بالفعل من قِبل جهات فاعلة حكومية مثل الإمارات العربية المتحدة - بسبب الأبحاث التي أجراها أحد أكبر منافسيها: Google (GOOG ، GOOGL). بعد يوم في Black Hat ، أعلنت شركة Apple عن توسع كبير في برنامج مكافآت الأخطاء ، والذي يدفع من خلاله مكافآت للباحثين الذين يكشفون عن ثغرات غير مثبتة. إن واحدة من أكثر الشركات العملاقة في مجال التكنولوجيا في أمريكا تفتح أبوابها للمساعدة الأمنية الخارجية هي تقدم كبير ، وهو شيء يجب على عملاء Apple الترحيب به في أوضحت العرض الذي قدمته الأربعاء ، ناتالي سيلفانوفيتش ، وهي باحثة في برنامج البحث عن الأخطاء في مشروع Project Zero الذي أطلقته Google في عام 2014 ، كيف سعت هي وزملاؤها إلى تأكيد الشائعات المستمرة بوجود ثغرات خطيرة في نظام التشغيل iOS. اكتشف العمل اللاحق 10 عيوب ، بعضها يسمح بالوصول عن بعد دون تدخل المستخدم ، في مكونات المراسلة مثل البريد الصوتي المرئي و iMessage. وقال سيلفانوفيتش: "هذه أخطاء يمكن لأي شخص استخدامها من أي مكان لمهاجمة أي شخص." قامت بعرض اثنين أثناء عرضها التقديمي ، أحدهما سمح للمهاجم بنسخ صورة من iPhone المستهدف وآخر أدى إلى قيام المهاجم بفتح تطبيق الحاسبة على iPhone المهاجم. أظهرت شاشة الحاسبة 1،337 - اختصارًا للقراصنة لـ "النخبة" - حيث أشاد الجمهور بالتقدير. مباشرة بعد الحديث ، أضافت مدونة Project Zero تقريرًا مفصلاً من سيلفانوفيتش يشرح هذه النتائج. الأخبار السارة: قامت شركة آبل بإصلاح الـ 10 ، مع منح رصيد لـ Project Zero في ملاحظات إصدار الأمان لتحديث iOS 12.4 الذي كان يجب أن يصل إلى iPhone الخاص بك بالفعل. السيئة: نتج الكثير من هذه الأخطاء عن ميزات iOS التي لم تفيد العملاء. "نشر معظم الثغرات الأمنية في iMessage بسبب سطح الهجوم الواسع والصعب ،" "معظم سطح الهجوم ليس جزءًا من الاستخدام العادي ، وليس له أي فائدة للمستخدمين."بكلمات أقل: التعقيد يقتل.
وقال كورت أوبسال ، نائب المدير التنفيذي والمستشار العام لمؤسسة Electronic Frontier Foundation ، بعد حديث كرستيتش إن شركة آبل "تأخرت في الحفلة" ببرنامجها السابق الحذر ، وأثنت على هذا التوسع.
قضايا iMessage
علة فضله 2.0حديث الخميس من قبل خبير أمني في شركة آبل لم يتناول النتائج التي توصل إليها سيلفانوفيتش ، لكنه أظهر أن شركة آبل قد توسعت بشكل كبير في برنامج مكافحتها للأخطاء. وقال رئيس هندسة الأمن ، إيفان كرستيتش ، لقاعة مكتظة: "نود أن نأخذ ذلك أكثر".على عكس مكافآت الإبلاغ عن الثغرات الأمنية التي أعلنت عنها أبل في هذا الحدث قبل ثلاث سنوات ، فإن البرنامج القادم هذا الخريف يغطي جميع أنظمة تشغيل آبل وهو مفتوح لجميع الباحثين في مجال الأمن ، وليس فقط مجموعة فرعية من خبراء أبله. وستزيد مدفوعاتها عن الثغرات الموثقة في برامج الشحن إلى مليون دولار.الفكرة من وراء هذا البرنامج ، مثل أنظمة مكافأة الأخطاء في شركات مثل Google و Facebook (FB) ، هي مكافأة الباحثين على الإبلاغ عن "المبتذلة" بدلاً من بيعها للمهاجمين.سيدفع نظام Apple الموسع أخطاء نظام Mac بالإضافة إلى ثغرات iPhone و iPad وسيغطي أيضًا tvOS الخاص بـ Apple TV و watchOS من Apple Watch.ستتطلب هذه المكافأة التي تبلغ قيمتها مليون دولار توثيقًا للهجوم عن بُعد الذي يتطلب عدم تفاعل المستخدم مطلقًا وتحقيق مكاسب مستمرة على مستوى النظام. نقاط الضعف الأقل خطورة سوف تكسب أقل ؛ على سبيل المثال ، يبلغ الحد الأقصى للدفع لتجاوز قفل الشاشة 100000 دولار.وقال كرستيتش إن شركة آبل ستقدم 50 ٪ إضافية للثغرات الموجودة في إصدارات اختبار البرامج غير المفرج عنها. وقال "السبب الأول للحصول على مكافأة هو العثور على ثغرة أمنية قبل أن تضرب أيدي العملاء".كما أعلن Krsti that أن Apple ستوفر "منصة بحث" لأجهزة iPhone لباحثي الأمن اعتبارًا من العام المقبل ، مما سيتيح إجراء فحص دقيق لبرامج وأجهزة Apple.
إرسال تعليق