Video: Major FaceTime security bug found! - SPY on anyone (September 2024)
Apple fixade nyligen en av de värsta säkerhetsbugg som någonsin upptäckts i iOS, vilket gjorde att en FaceTime-anropare kunde höra vad folk sa innan de svarade på samtalet. Så vad gick fel, och kan vi förhindra ytterligare en liknande katastrof?
Apple gör inte källkoden för sina operativsystem och appar allmänt tillgängliga. Endast företagets egna ingenjörer, utvecklare och personal för kvalitetssäkring testar och fixar fel i dess applikationer. Och Apple kräver att sina anställda tecknar strikta avtal om icke-avslöjande om sina produkter. Den här muromgärdade metoden innebär att vi måste lita på Apple för att leverera säkra produkter.
Som sagt har Apple en av de mest robusta processerna för mjukvaruutveckling. Dess rykte stöds av mer än fyra decennier av att leverera säkra och pålitliga applikationer och produkter. Men en gång i taget drabbade säkerhetsbristerna genom oklarhet - beroende på hemlighet för att säkerställa säkerhet - hemma. FaceTime-felet var ett exempel.
Jämfört med komplicerade säkerhetsfel som kräver resurser och expertis för att upptäcka och utnyttja var FaceTime-buggen trivial. Det upptäcktes faktiskt av en 14-åring som spelade Fortnite med sina vänner.
Men det ställer en fråga: Hur kan ett företag med Apple integritet missa en så uppenbar brist i en av dess mest använda applikationer? Var det avsiktligt orsakat av en missnöjd anställd som ville hämnas? Var det en regeringsimplanterad bakdörr? Var det ett ärligt misstag, en-i-en-miljon misstag som kunde ha glidit igenom försvaret till och med det mest pålitliga företaget?
Det är svårt att besvara den frågan oberoende. Vi måste lita på all information Apple ger oss. Och hittills har Apple inte sagt mycket förutom att det har fixat bristen i iOS 12.1.4 och kommer att belöna tonåringen i Arizona som först rapporterade felet.
Vi kommer förmodligen aldrig att veta när exploiten började. Enligt rapporter gällde felet på alla enheter som kör iOS 12.1 eller senare. Släppt den 30 oktober 2018, iOS 12.1 lade Group FaceTime, funktionen som innehöll avlyssningsfelet. Men det är svårt att föreställa sig att ett fel i det fria som körs på hundratals miljoner enheter skulle förbli oupptäckt i flera månader. Kanske introducerades felet nyligen, eftersom Apple-utvecklingsgruppen gjorde uppdateringar av FaceTimes server-programvara. Återigen vet vi inte om Apple berättar.
Däremot har många organisationer en öppen källkodspolicy som släpper hela källkoden för sina applikationer på plattformar som GitHub och gör den tillgänglig för alla att granska. Oberoende experter och utvecklare kan sedan verifiera applikationens säkerhet.
Övningen har blivit allt populärare under de senaste åren och till och med lockat några historiskt snäva deltagare.
- iOS 12.1 Fixar iPhone Smooth Skin Selfie-problem iOS 12.1 Fixar iPhone Smooth Skin Selfie-problemet
- Redo för videochatt? Hur grupperar jag FaceTime-redo för videochatt? Hur gruppera FaceTime
- Apples senaste iOS-uppdatering fixar en läskig FaceTime-bugg Apples senaste iOS-uppdatering fixar en skrämmande FaceTime-bugg
Ett bra exempel på öppenhet är den säkra meddelandenappen Signal. Open Whisper Systems, företaget som utvecklar Signal, har publicerat källkoden för alla versioner av sin applikation på GitHub. Hela historiken för appens källkod, dess bidragsgivare och ändringarna i appen är synliga för alla. Signals källkod har granskats av hundratals experter och har fått godkännande av branschledare som Bruce Schneier, Edward Snowden och Matt Green.
Betyder det att open source-applikationer inte har några säkerhetsbrister? Långt ifrån. Program med hundratusentals kodrader är komplexa skapelser och svåra att säkra, oavsett hur många ögon som granskar koden.
Faktum är att Signal har tappat ut några otäcka buggar i sig, inklusive en som skulle låta hackare stjäla dina chattar i vanlig text. Men till skillnad från appar med slutna källor som FaceTime, kan vem som helst enkelt spåra källan och orsakerna till brister i appar som Signal, samt när de har sitt ursprung och vilken kodändring eller ny funktion som orsakade dem. Men när det gäller FaceTime-felet måste vi spekulera.
Öppenhet skapar förtroende. Uklarhet förstör det.
