Закрытая экосистема Apple – отличное укрытие для элитных хакеров

3 марта 2021 года

Как известно, безопасность и приватность для компании Apple превыше всего, поэтому она держит свою экосистему «за семью замками». Однако, по словам специалистов, хакерам, которым все же удастся в нее проникнуть, гораздо легче оставаться незамеченными в течение длительного времени.

Много лет Apple активно рекламировала конфиденциальность и безопасность своих устройств и заявляла, что ценит их больше, чем другие технологические компании. Такая позиция Apple даже привела к судебным тяжбам с другими производителями (в частности с издателем компьютерных игр Epic Games ), заинтересованными в том, чтобы сломать стену, построенную Apple вокруг своей экосистемы, и привести ее в соответствие с другими представителями отрасли.

Однако, сам того не желая, в попытке решить одну проблему техногигант из Купертино создал другую, еще более серьезную. Возведенная им «крепость» вокруг своей экосистемы подарила некоторым сильнейшим в мире хакерам отличное укрытие. Взломать iPhone очень сложно, но сделав это, злоумышленник сможет долго оставаться незамеченным.

Как пояснил старший исследователь ИБ-компании Citizen Lab Билл Марчак (Bill Marczak), у высококлассных хакеров есть все необходимые ресурсы и мотивация для осуществления атак zero-click (атак, не требующих никаких действий со стороны пользователя), позволяющих им запускать вредоносный код без ведома жертвы.

Однако подобная тактика присуща не только киберпреступникам. Поставщики инструментов для проведения криминалистической экспертизы наподобие израильской компании NSO Group делают это годами. И хотя они уверяют, что предоставляют свою продукцию только правоохранительным органам, всегда есть риск использования ее не по назначению. Вдобавок, соцсети (в частности, Facebook) пытаются приобрести инструменты NSO Group для мониторинга iPhone и iPad пользователей.

Производители современных компьютеров постепенно перенимают исповедуемую Apple философию изоляции, но пока не очень преуспели в этом. В случае с Mac производитель стал использовать чипы безопасности серии T (в настоящее время интегрированы с SoC M1 для Apple Silicon Mac), которые могут управлять зашифрованным хранилищем и безопасной загрузкой, выполнять обработку сигналов изображения и биометрическую аутентификацию и даже физически отключать микрофон в целях предотвращения слежки. Но и эта мера не является идеальной и теоретически позволяет опытному хакеру встроить кейлоггер и украсть учетные данные, при этом его практически невозможно будет обнаружить.

Что касается программного обеспечения, то подход Apple – это палка о двух концах. С одной стороны, любое работающее на Mac ПО должно проходить проверку подлинности. С другой стороны, такой подход может потерпеть неудачу, когда слишком много людей одновременно обновятся до последней версии macOS.

При этом возможности исследователей безопасности для изучения продуктов Apple весьма ограничены. Компания не предоставляет инструментам для анализа Mac достаточный доступ, необходимый для выявления свидетельств взлома. В частности, исследователи не могут просматривать распределение памяти других процессов. То есть, приложения не могут проверять личное пространство другого приложения. Такая тактика идеальна для защиты конечных пользователей, но является значительным ограничением для исследования безопасности.

Apple считает, что ее подход к безопасности является правильным: компромисс – небольшая плата за усложнение жизни хакерам, желающим получить доступ к конфиденциальным данным на устройствах пользователей. Исследователи безопасности склонны соглашаться с этим, но они также обеспокоены тем, что массовый переход пользователей на мобильные устройства с закрытой экосистемой усложнит задачу по выявлению взломов.