Apple brzydko pogrywa ze specem od bezpieczeństwa

Microsoft przez lata nauczył się jak współpracować z hakerami (w tradycyjnym tego słowa znaczeniu), Google od początku wiedział jak to robić. A Apple nigdy nie umiał i nic nie wskazuje na to, by koncern chciał się tego nauczyć. Charlie Miller, jeden z najlepszych na świecie specjalistów zajmujących się bezpieczeństwem produktów Apple’a, został właśnie wyrzucony z programu iOS Developer Program – bo stworzył przykładowy program, demonstrujący lukę w iOS.

Gdy haker, który znajdzie jakiś poważny błąd w produkcie Microsoftu, zgłosi się do działu Security Response, dostanie piękne podziękowanie i wzmiankę w raporcie o luce. Gdy ktoś zgłosi Google’owi problem z Chrome, dostanie wzmiankę i kasę (nawet ponad 1000 USD). A gdy ktoś zgłosi taki problem Apple’owi to opcję są dwie: albo on i jego błąd zostaną zignorowani, albo odkrywca luki zostanie ukarany.

Tak właśnie było z Charlie’m Millerem, jednym z najsłynniejszych ekspertów od bezpieczeństwa produktów Apple (Miller zasłynął m.in. tym, że na kilku kolejnych edycjach konkursu hakerskiego Pwn2Own dosłownie w kilka sekund włamywał się do Mac OS X i iOS). Haker znalazł niedawno kolejną lukę w mobilnym systemie Apple’a – wykazał, że w iOS znajduje się błąd, który umożliwia zainstalowanym aplikacjom uruchamianie nieautoryzowanego przez Apple kodu, pozyskanego z zewnętrznego źródła.

Ten błąd może być w łatwy sposób wykorzystany do zaatakowania użytkowników iOS – można wyobrazić sobie scenariusz, w którym ktoś zgłasza do App Store w pełni bezpieczną, legalną aplikację. Apple ją akceptuje, bo program nie wykazuje najmniejszych cech złośliwej zawartości – tyle tylko, że po zainstalowaniu w systemie aplikacja może pobierać i uruchamiać dodatkowy szkodliwy kod.

Aby udowodnić, że luka istnieje, Miller zrobił coś, co zrobiłby każdy inny specjalista ds. bezpieczeństwa – przygotował tzw. proof of concept, czyli prototypową, prostą aplikację pokazującą na czym polega błąd. W jego przypadku był to program o nazwie Instastock, który wedle opisu miał wyświetlać informacje giełdowe, ale dodatkowo, w ramach testowania exploita, pobierał z serwera przygotowanego przez Millera dodatkowy kod. Oczywiście, niezłośliwy – nie chodziło o atakowania kogokolwiek, tylko o wykazanie, że problem jest realny.

Ale dla Apple to i tak było zbyt wiele – do Charlie’ego Millera wysłano uprzejmy list, w którym poinformowano go, że nie jest już członkiem programu iOS Developer Program, bo złamał trzy zapisy regulaminu. Chodzi o punkty zakazujące wprowadzania do App Store aplikacji posiadających ukryte funkcje, działających niezgodnie z opisem oraz  pobierających kod z zewnętrznych źródeł.

Miller tłumaczy, że wprowadzenie aplikacji do App Store było niezbędne – i ma rację, bo gdyby tego nie zrobił, Apple po zgłoszeniu opisu luki z pewnością oświadczyłby, że problem nie istnieje, bo aplikacja wykorzystująca lukę nigdy nie zostałaby wpuszczona do App Store. A tak haker dowiódł, że problem jest realny i użytkownicy rzeczywiście są potencjalnie zagrożeni.

Oczywiście, wyrzucając Millera Apple działał zgodnie ze swoim regulaminem – ale jednocześnie firma dobitnie pokazała, że ma gdzieś wypracowane przez lata zasady współpracy specjalistów ds. bezpieczeństwa z producentami oprogramowania. Microsoft, Google, Mozilla, Oracle i wielu, wielu innych potrafią jakoś zrozumieć, że ludzie tacy jak Miller robią im przysługę, pomagając lepiej zabezpieczyć oprogramowanie. Apple nie bardzo – koncern zamiast podziękować i przeprosić, po prostu wyrzuca hakera z programu developerskiego.

Efekt może być taki, że gdy następny, nieco mniej uczciwszy, spec ds. bezpieczeństwa znajdzie poważną lukę w iOS czy Mac OS X, to może uznać, że nie ma sensu informować o niej Apple’a i po prostu sprzeda ją na którymś z forów wykorzystywanych przez cyberprzestępców i autorów wirusów. A to może mieć fatalne skutki dla użytkowników.