Video: iPhone Security Settings You Should Change NOW ! (Oktober 2024)
Apple fik for nylig rettet en af de værste sikkerhedsfejl nogensinde opdaget i iOS, som gjorde det muligt for en FaceTime-opkald at høre, hvad folk sagde, før de besvarede opkaldet. Så hvad gik galt, og kan vi forhindre en lignende katastrofe?
Apple gør ikke kildekoden til sine operativsystemer og apps offentligt tilgængelig. Kun virksomhedens egne ingeniører, udviklere og kvalitetssikringspersonale tester og afhjælper fejl i dets applikationer. Og Apple kræver, at dens medarbejdere underskriver strenge ikke-oplysningsaftaler om sine produkter. Denne indhegnede tilgang til haven betyder, at vi skal stole på Apple til at levere sikre produkter.
Når det er sagt, har Apple en af de mest robuste softwareudviklingsprocesser. Dets omdømme støttes af mere end fire årtier med at levere sikre og pålidelige applikationer og produkter. Men en gang imellem rammer sikkerhedsfejl gennem uklarhed - afhængigt af hemmeligholdelse for at sikre sikkerhed - hjem. FaceTime-bug var et eksempel.
Sammenlignet med komplicerede sikkerhedsfejl, der kræver ressourcer og ekspertise til at opdage og udnytte, var FaceTime-bugten trivial. Faktisk blev det opdaget af en 14-årig, der spillede Fortnite med sine venner.
Men det rejser et spørgsmål: Hvordan kunne et firma med integriteten af Apple gå glip af en så åbenbar fejl i en af sine mest anvendte applikationer? Var det forsætligt forårsaget af en utilfredse medarbejder, der ville hævn? Var det en regeringsimplanteret bagdør? Var det en ærlig, en-til-en-million-fejl, der kunne have glidet igennem forsvaret fra selv det mest pålidelige selskab?
Det er svært at besvare dette spørgsmål uafhængigt. Vi er nødt til at stole på, hvilken information Apple giver os. Og indtil videre har Apple ikke sagt meget, bortset fra at det har rettet fejlen i iOS 12.1.4 og vil belønne den teenager i Arizona, der først rapporterede fejlen.
Vi vil sandsynligvis aldrig vide, hvornår udnyttelsen begyndte. Ifølge rapporter anvendte fejlen på alle enheder, der kører iOS 12.1 eller nyere. Udgivet den 30. oktober 2018 tilføjede iOS 12.1 Group FaceTime, den funktion, der indeholdt aflyttningsfejl. Men det er svært at forestille sig, at en fejl ude i åbent, der kører på hundreder af millioner enheder, ville forblive uopdaget i flere måneder. Fejlen blev måske introduceret for nylig, da Apple-udviklingsholdet opdaterede FaceTimes server-software. Igen ved vi ikke, medmindre Apple fortæller os.
I modsætning hertil har mange organisationer en open source-politik, der frigiver den fulde kildekode for deres applikationer på platforme som GitHub og gør den tilgængelig for alle at gennemgå dem. Uafhængige eksperter og udviklere kan derefter verificere applikationens sikkerhed.
Praksisen er blevet mere og mere populær i de sidste par år og har endda tiltrukket nogle historisk snævre deltagere.
- iOS 12.1 Løsning af iPhone Glat hud Selfie-problem iOS 12.1 Retter iPhone Glat hud Selfie-problem
- Klar til videochat? Sådan grupperes FaceTime klar til videochat? Sådan grupperes FaceTime
- Apples seneste iOS-opdatering løser en skræmmende FaceTime-bug Apples seneste iOS-opdatering løser en skræmmende FaceTime-fejl
Et godt eksempel på gennemsigtighed er den sikre messaging-app Signal. Open Whisper Systems, firmaet, der udvikler Signal, har offentliggjort kildekoden for alle versioner af dens applikation på GitHub. Hele historien til appens kildekode, dens bidragydere og ændringerne, der er foretaget til appen, er synlige for alle. Signalets kildekode er blevet gennemgået af hundreder af eksperter og har fået godkendelse fra brancheledere som Bruce Schneier, Edward Snowden og Matt Green.
Betyder det, at open source-applikationer ikke har nogen sikkerhedsmæssige mangler? Langt fra. Programmer med hundretusinder af kodelinjer er komplekse kreationer og svære at sikre, uanset hvor mange øjne der gennemgår koden.
Faktisk har Signal kæmpet et par ubehagelige bugs i sig selv, herunder en, der ville lade hackere stjæle dine chats i almindelig tekst. Men i modsætning til apps med lukkede kilder, såsom FaceTime, kan enhver nemt spore kilden og årsagerne til fejl i apps som Signal, samt hvornår de stammer fra, og hvilken kodeskift eller ny funktion der forårsagede dem. Men i tilfælde af FaceTime-fejlen, bliver vi nødt til at spekulere.
Gennemsigtighed skaber tillid. Uklarhed ødelægger det.
