Apple brzydko pogrywa ze specem od bezpieczeństwa
Microsoft przez lata nauczył się jak współpracować z hakerami (w tradycyjnym tego słowa znaczeniu), Google od początku wiedział jak to robić. A Apple nigdy nie umiał i nic nie wskazuje na to, by koncern chciał się tego nauczyć. Charlie Miller, jeden z najlepszych na świecie specjalistów zajmujących się bezpieczeństwem produktów Apple'a, został właśnie wyrzucony z programu iOS Developer Program - bo stworzył przykładowy program, demonstrujący lukę w iOS.
Gdy haker, który znajdzie jakiś poważny błąd w produkcie Microsoftu, zgłosi się do działu Security Response, dostanie piękne podziękowanie i wzmiankę w raporcie o luce. Gdy ktoś zgłosi Google'owi problem z Chrome, dostanie wzmiankę i kasę (nawet ponad 1000 USD). A gdy ktoś zgłosi taki problem Apple'owi to opcję są dwie: albo on i jego błąd zostaną zignorowani, albo odkrywca luki zostanie ukarany.
Tak właśnie było z Charlie'm Millerem, jednym z najsłynniejszych ekspertów od bezpieczeństwa produktów Apple (Miller zasłynął m.in. tym, że na kilku kolejnych edycjach konkursu hakerskiego Pwn2Own dosłownie w kilka sekund włamywał się do Mac OS X i iOS). Haker znalazł niedawno kolejną lukę w mobilnym systemie Apple'a - wykazał, że w iOS znajduje się błąd, który umożliwia zainstalowanym aplikacjom uruchamianie nieautoryzowanego przez Apple kodu, pozyskanego z zewnętrznego źródła.
Ten błąd może być w łatwy sposób wykorzystany do zaatakowania użytkowników iOS - można wyobrazić sobie scenariusz, w którym ktoś zgłasza do App Store w pełni bezpieczną, legalną aplikację. Apple ją akceptuje, bo program nie wykazuje najmniejszych cech złośliwej zawartości - tyle tylko, że po zainstalowaniu w systemie aplikacja może pobierać i uruchamiać dodatkowy szkodliwy kod.
Aby udowodnić, że luka istnieje, Miller zrobił coś, co zrobiłby każdy inny specjalista ds. bezpieczeństwa - przygotował tzw. proof of concept, czyli prototypową, prostą aplikację pokazującą na czym polega błąd. W jego przypadku był to program o nazwie Instastock, który wedle opisu miał wyświetlać informacje giełdowe, ale dodatkowo, w ramach testowania exploita, pobierał z serwera przygotowanego przez Millera dodatkowy kod. Oczywiście, niezłośliwy - nie chodziło o atakowania kogokolwiek, tylko o wykazanie, że problem jest realny.
Ale dla Apple to i tak było zbyt wiele - do Charlie'ego Millera wysłano uprzejmy list, w którym poinformowano go, że nie jest już członkiem programu iOS Developer Program, bo złamał trzy zapisy regulaminu. Chodzi o punkty zakazujące wprowadzania do App Store aplikacji posiadających ukryte funkcje, działających niezgodnie z opisem oraz pobierających kod z zewnętrznych źródeł.
Miller tłumaczy, że wprowadzenie aplikacji do App Store było niezbędne - i ma rację, bo gdyby tego nie zrobił, Apple po zgłoszeniu opisu luki z pewnością oświadczyłby, że problem nie istnieje, bo aplikacja wykorzystująca lukę nigdy nie zostałaby wpuszczona do App Store. A tak haker dowiódł, że problem jest realny i użytkownicy rzeczywiście są potencjalnie zagrożeni.
Oczywiście, wyrzucając Millera Apple działał zgodnie ze swoim regulaminem - ale jednocześnie firma dobitnie pokazała, że ma gdzieś wypracowane przez lata zasady współpracy specjalistów ds. bezpieczeństwa z producentami oprogramowania. Microsoft, Google, Mozilla, Oracle i wielu, wielu innych potrafią jakoś zrozumieć, że ludzie tacy jak Miller robią im przysługę, pomagając lepiej zabezpieczyć oprogramowanie. Apple nie bardzo - koncern zamiast podziękować i przeprosić, po prostu wyrzuca hakera z programu developerskiego.
Efekt może być taki, że gdy następny, nieco mniej uczciwszy, spec ds. bezpieczeństwa znajdzie poważną lukę w iOS czy Mac OS X, to może uznać, że nie ma sensu informować o niej Apple'a i po prostu sprzeda ją na którymś z forów wykorzystywanych przez cyberprzestępców i autorów wirusów. A to może mieć fatalne skutki dla użytkowników.