Apple, как дела с безопасностью?

Многие из вас наверняка слышали о инциденте с iForgot, всплывшем наружу пару недель назад. Речь идёт о элементарно реализуемом хаке, благодаря которому любой мог сбросить чей угодно пароль Apple ID, зная лишь емейл и дату рождения человека. Apple довольно быстро отреагировали, временно отключив сервис iForgot и попутно прикрыв дыру.

Кто-то считает, что это простое и безобидное недоразумение. Кто-то увидел в этом непростительную оплошность. В защиту Apple можно было бы сказать то, что данная уязвимость была обнаружена и закрыта раньше, чем большинство пользователей вообще узнали о её наличии, и они всё сделали как надо. Но это не так.

Чудесный новый мир

Apple делают великолепные девайсы, которыми пользуются миллионы людей. Конечно, когда речь идёт не о физическом устройстве, а о цифровом сервисе, то ошибка может быть не столь критична, ведь код можно переписать, а вот криво сделанный смартфон или компьютер уже нет. Уже не первый раз Apple прокалывается в сфере веб-сервисов. Безусловно, даже такая компания может облажаться при расширении сферы деятельности, но здесь важно понимать, насколько повысилась значимость Apple ID и пароля к нему для любого рядового пользователя.

Охрана спит

На данный момент Apple ID стал аутентификатором для доступа практически ко всем сервисам Apple, а соответственно, и к данным пользователей.

Вот мысль Метью Грина, профессора Университета Хопкинса, занимающегося вопросами криптографии:

«Если бы вы были в команде безопасности Apple, и у вас были бы ограниченные ресурсы и время на исследование каждой части системы, ты вы всё равно сосредоточили бы внимание на iForgot. Вы бы исследовали систему изнутри и пригласили как минимум одного тестировщика. А факт того, что такие глупые баги всплывают в уже выпущенном продукте, говорит лишь о том, что Apple не уделяет необходимого внимания безопасности».

Даже после закрытия сервиса после обнаружения уязвимости осталось непонятным, на самом ли деле команда безопасности выявила источник проблемы. Как показали iMore, на самом деле Apple просто поставили заглушку, а талантливые люди могли по-прежнему сбрасывать пароли простым копипастом в адресную строку браузера ссылок, имитирующих прохождение процедуры сброса. Более того, был возможен и такой вариант: обман сервера, при котором он считал два контрольных вопроса, необходимых для сброса пароля, успешно пройденными. И всё с помощью обычных вводов ссылок в браузер.

Screen_Shot_2013-03-21_at_2.51.54_PM_large_verge_medium_landscape

И только когда всплыла эта новость, Apple полностью отключили сервис iForgot, хотя должны были сделать это сразу.

Что предлагалось в качестве решения? Конечно, так долго ожидаемая двухступенчатая аутентификация, но на тот момент она была представлена лишь в США, Великобритании, Австралии, Ирландии и Новой Зеландии. Остальные пользователи беспомощно ждали.

Всё так серьёзно?

Чем грозит доступ пользователю доступность его Apple ID третьим лицам? В случае тупого вандализма возможен сценарий, при котором с помощью сервисов «Find My …» возможен дистанционный вайп данных на мобильных устройствах и компьютерах пользователя. Email, iMessage, iChat и Facetime дают доступ к приватным сообщениям, а также позволяют самому отправлять их от имени пользователя. iCloud открывает доступ ко всем файлам пользователя.

Добравшись до контактов одного пользователя, злоумышленник получает в своё распоряжение список емейлов и дат рождения, к каждому из которых он тоже может залезть… и так в лавинообразной манере. С помощью календаря, Find My Phone и Find My Friends злоумышленник мог достаточно знать, где, когда и с кем будет конкретный человек. Развивать паранойю можно и дальше, вот только в данном случае это была не призрачная угроза, а реальный риск для пользователей.

Не стоит забывать и о бекапах. Вот что думает об этом Грин:

«Apple не посвящает пользователей во все детали создания бекапов, то есть мы не знаем точно, какая информация уходит в облако. Предположительно, в бекап включается всё, позволяя таким образом получить полностью персонализированное устройство при входе в только что купленный чистый смартфон. Выходит, что система, которая раньше защищала только аккаунт iTunes, теперь защищает все данные».

Злоумышленнику не нужен постоянный продолжающийся доступ к устройству жертвы, потому что теперь он может получить полные бекапы со всеми данными. А уж что делать с информацией в этих бекапах — личное дело каждого.

На основе вышеописанных сценариев достаточно легко понять, насколько приоритетной в плане безопасности является сервис iForgot , и тем более халатным выглядит отношение Apple к такому важному компоненту. Теперь добавляем сюда все лажи Apple с обходом блокировки экрана смартфона и уходим в глубокую печаль.

Если развить мысль, то можно прийти к ещё более печальным умозаключениям: если у Apple может быть так плохо на клиентской стороне, то что же происходит внутри? Успешная атака на серверы Apple может дать злоумышленникам доступ к данным о банковских картах пользователей, а это уже совсем другой уровень угрозы.

Мы работаем над этим

Говоря объективно, Apple на самом деле стараются исправить ситуацию. Тут приходят на помощь и требования к сложности паролей, и шифрование на уровне хотя бы 128-битного AES на самих серверах и в процессе передачи данных. Двухэтапная аутентификация. Отсутствие паролей других приложений в облаке. Вроде всё налаживается, но так ли это?

Со стороны виднее

Когда проблемы возникли у Dropbox, они пригласили специалистов извне для анализа проблем с безопасностью системы. У Apple всё иначе. Компания настолько закрыта, что даже их собственные разработчики жёстко ограничиваются в доступе к той или иной информации. О каких сторонних специалистах тут может идти речь?

Правда в том, что Apple ценит юзабилити превыше всего, даже безопасности. Если посмотреть на существующих облачных гигантов наподобие Amazon и Microsoft, то можно увидеть огромные штаты специалистов по информационной безопасности. Apple закрыты настолько, что мы вообще ничего не знаем о их безопасности.

Уровень безопасности сервисов тех же Amazon и Microsoft также анализируется независимыми сторонними компаниями. Обе компании состоят в Cloud Security Alliance — некоммерческой организации, занимающейся вопросами безопасности данных в облаках. В CSA состоят Google, Box, HP, VMWare, Intel, Adobe, Oracle. Там есть практически все компании, чья деятельность так или иначе связана с облаками, но там нет Apple.

icloud

В то время, пока альянс совместными усилиями совершенствует свои средства защиты, Apple всё делает сама. Они не комментировали даже вопрос о вероятности того, что в будущем безопаcность iCloud можно будет протестировать.

Пора взрослеть

Пользователи должны знать о реальном положении используемых ими сервисов в вопросах защищённости. Конечно, другие облака тоже не идеальны, но отличие iCLoud в том, что он фактически является безальтернативным для каждого пользователя продукции Apple, и при этом же он является наименее понятным.

Руководству Apple пора осознать, что они защищают данные своих пользователей, важные, личные данные. Apple необходимо доказать, что их облаку можно доверять. В противном случае отношение к нему будет таким же, как к печальным Apple Maps и MobileMe. Стоит признать, iCloud далёк от привычного уровня других продуктов Apple, и его секьюрность — лишь один из выявленных симптомов.

(via)