Число обнаруженных уязвимостей в мобильных операционных системах растёт с каждым годом. Но не меньшее беспокойство вызывает реакция Apple: компания не торопится исправлять уже найденные проблемы безопасности.
Apple игнорирует уязвимости, позволяющие следить за пользователями
В сентябре исследователь в области кибербезопасности Денис Токарев пожаловался, что три из четырёх найденных им уязвимостей нулевого дня в iOS не исправлены за шесть месяцев с момента уведомления компании. Все проблемы — класса Information Disclosure, то есть позволяют получать чувствительную информацию приложениями без запроса разрешений у пользователя.
После общественного резонанса Apple заявила, что расследует уязвимости и методы их исправления. В конце октября Токарев сообщил, что компания устранила только одну уязвимость, а две остаются активными в актуальной iOS 15.1.
«Эти две уязвимости нулевого дня до сих пор не исправлены в iOS 15.1 и позволяют шпионским приложениям, таким как Facebook и TikTok, отслеживать вас, а также получать конфиденциальные данные без вашего разрешения», — Денис Токарев
Ещё одна проблема — отсутствие вознаграждений
У Apple, как и у многих других технологических компаний, есть программа Security Bounty. По ней корпорация заплатит за найденную ошибку, если та не будет обнародована. По словам Токарева, Apple исправила одну из уязвимостей в iOS 15.0.2 спустя семь месяцев после её обнаружения, но не присудила ему вознаграждение. Программа подразумевает выплаты от 5000 до 1 000 000 долларов.
Эта ситуация не уникальна: один из исследователей сообщил, что Apple не наградила его ни за одну из 17 найденных им уязвимостей в macOS. Другой разработчик опубликовал подробности способа обхода экрана блокировки iOS из-за того, что Apple снизила размер вознаграждения с 25 000 до 5000 долларов.
Конкуренты выплачивают куда больше вознаграждений за найденные баги. За 2020 год Microsoft выделила на это 13,6 млн долларов, Google — 6,7 млн долларов, тогда как Apple отправила искателям ошибок 3,7 млн долларов. Среди исследователей кибербезопасности компания известна тем, что ограничивает общение с разработчиками и не разглашает причины, по которым она оплатила или не оплатила найденную ошибку.
Ситуация с безопасностью систем ухудшается
Нельзя сказать, что Apple совсем ничего не делает для защиты своих продуктов. Только за девять месяцев этого года компания закрыла минимум 17 уязвимостей в софте, но другие известные дыры в безопасности почему-то долгое время остаются незакрытыми. Вдобавок непонятна политика компании относительно программы поиска новых уязвимостей.
И всё это происходит на фоне роста найденных угроз безопасности. По данным Google, в 2020 году только её исследователи обнаружили в приложениях для различных платформ 22 уязвимости нулевого дня. А за первые семь месяцев 2021 года нашли уже 33, то есть в 1,5 раза больше, чем за весь прошлый год. О взрывном росте подобных угроз сообщают и другие исследователи.
Дальнейшее игнорирование исследователей может пошатнуть позицию компании, которая активно продвигает приверженность принципам конфиденциальности и безопасности.
Что должно произойти, чтобы Apple стала более открытой по отношению к сообществу кибербезопасности?
