Вслед за прошивкой iOS 7.1 Apple выпустила сопроводительный документ к ней, описывающий ключевые изменения в безопасности iOS. Интересен он и тем, что на его страницах компания без лишнего лукавства благодарит хакеров – разработчиков джейлбрейка Evasi0n7, а также Google и всех прочих, причастных к выявлению уязвимостей в «семерке».
Говоря об Evad3rs, представители “яблочного” бренда отметили, что их стараниями выявлено сразу 4 опасные дыры в iOS 7 – их вклад в доработку 7.1 самый весомый. Первая ошибка связана с системой резервного копирования и позволяет злоумышленнику получить доступ к файловой системе ОС. Вторая уязвимость приводит к тому, что локальный пользователь получает расширенные права и может менять статус произвольных файлов. Третья дыра, на которой и был основан последний джейлбрейк, давала возможность запустить выполнение некоего стороннего кода непосредственно в ядре iOS 7. Последняя позволяет обойти механизм подписи кода и внедрить сомнительное ПО в систему.
Следующим похвалы Apple удостоился независимый разработчик Филиппо Багарелла (Filippo Bigarella), автор многофункционального твика Springtomize 3. А также его коллега по джейлбрейк-сообществу, талантливый взломщик iOS, Стефан Эссер (Stefan Esser). Дифирамбы в адрес Багарелла звучат в честь разработки эксплойта, способного вызвать аварийное завершение работы системы. А Эссер сумел привлечь внимание Apple к опаснейшей уязвимости, позволяющей реализовать сценарий MITM-атаки (man-in-the-middle) и спровоцировать пользователя скачать вредоносное ПО, якобы предоставленное доверенным источником.
Для Apple подобные жесты – дело обыденное, компания регулярно и, наверное, от чистого сердца благодарит хакеров, помогающих отшлифовать ее программные продукты. Например, в 2012 году похвалы удостоилась команда Jailbreak Dream Team, создавшая эксплойт для ядра iOS, что послужило толчком для выпуска большой заплатки в версии 5.1. А те же Evad3rs уже отличились в прошлом году при выпуске iOS 6.1.3 – им приписывают открытие 4 из 6 уязвимостей, заблокированных в том дополнении.
Однако до этого речь шла лишь о наиболее важных и опасных «дырах», всего же, если верить последнему документу, в iOS 7.1 исправлена 41 уязвимость из тех, что выявлены в изначальной версии «семерки». К их обнаружению причастны Chrome Security Team от Google и десятки рядовых пользователей, с энтузиазмом изучавших новую систему. Например, благодаря команде Google выявлено 9 проблем из 19, связанных с работой сервиса WebKit в браузере Safari. Разработчики конкурирующего браузера Chrome уже сталкивались с ними ранее и поступили довольно благородно, предупредив коллег и соперников в одном лице о потенциальной опасности.
Apple неоднократно и вполне обосновано критикуют за преднамеренное умалчивание проблем с безопасностью в ее программных продуктах. Компания, не взирая на тонны публикаций и предъявленных фактов, упорно не желает публично реагировать на обвинения. Высокомерно? Как бы не так, последний документ наглядно демонстрирует, в чем истинный смысл такой политики. Пока не проведено детальное исследование, не вычислен механизм уязвимости и не разработано надежное средство решения проблемы, лучше не говорить вообще ничего. Чем меньше знает широкая публика, тем лучшее для ее же безопасности, а когда ситуация будет решена – вот тогда уже не грех и официально поблагодарить тех, кто помог в этом.
Смотрите также:
- За помощь в поимке российского хакера ФБР готова предложить рекордное вознаграждение.
- Apple усиливает безопасность при восстановлении паролей после атаки хакеров.
- Получен «вечный» джейлбрейк iPhone 4s, iPod touch 5G, iPad 2, iPad 3 и iPad mini.
- Джейлбрейк iOS 7.1 при помощи Evasi0n7 будет невозможен.
- iMessage для Android – подарок от хакеров с сюрпризом.
- Хакеры из 1775Sec взломали базу данных Apple.