Nowa dziura w iOS. Babol czy ficzer?

Ekosystem Apple coraz częściej musi stawiać czoła wyzwaniom i zagrożeniom, o jakich świat nie słyszał. A sezon polowań dopiero się zaczyna...

Ledwo miesiąc temu do prywatnych danych makjuzerów dobierał się Mac.BackDoor.iWorm, wciąż jeszcze trwa gorączkowe zamiatanie pod dywan afery z WireLurkerem, a już pojawił się kolejny wróg u bram rezerwatu. A właściwie - biorąc pod uwagę specyfikę ekosystemu Apple - po tylną furtką...

Okazuje się, że wcale nie trzeba złapać wirusa w OS X, żeby zarażać iOS. Ten system okazuje się pod tym względem całkowicie samodzielny. Wraz z postępującą popularnością, masowością, pogarszającym się poziomem zabezpieczeń i rosnącą ilością niedoróbek, iOS staje się ulubionym celem hakerów. Właśnie znaleźli kolejną dziurę w systemie, umożliwiającą tzw. Masque Attack, czyli nowy sposób na kradzież danych z iGadżetów Apple. Prawdę mówiąc, sposób nie jest tak całkiem nowy, bo zewnętrzni specjaliści od zabezpieczeń poinformowali Apple o problemie już w czerwcu. Niestety, wewnętrzni specjaliści Apple jak zwykle olali sprawę, bo dziura jak była, tak jest nadal.

Z grubsza chodzi o to, że klikając w link z informacją o aktualizacji jakiegoś programu, możecie sobie ściągnąć i zainstalować coś całkiem innego. Na przykład identycznie wyglądającą podróbkę programu, naszpikowaną malwarem i innym złośliwym kodem, kradnącym dane. Dzieje się tak dlatego, że genialni programiści z Cupertino nie wbudowali w iOS procedury sprawdzania autentyczności identyfikatora programu. Jeśli fałszywka ma taki sam identyfikator paczki co oryginał, system ją przepuszcza i traktuje jak legalną aktualizację. A potem już zaczynają dziać się cuda...

Problem dotyczy jedynie urządzeń z tzw. profilem korporacyjnym, umożliwiającym instalację aplikacji spoza App Store, co jednak w żaden sposób nie usprawiedliwia fuszerki, wykonanej przez kupertyńskich programistów. Jak na razie, Apple w żaden sposób nie zareagowało na informacje o dziurze w systemie. Zareagowali natomiast fanboje, broniąc wpadki Apple kontrargumentem, że w Androidzie też można sobie ściągnąć nieszczęście na głowę, instalując lewe programy spoza Google Play.

Argument ten jest równie trafiony, co sławetna, wielce merytoryczna replika komunistycznych PR-owców na krytykę najlepszego z ustrojów przez Amerykanów - "A u was Murzynów biją!". No cóż - może i bili, bo byli w tej szczęśliwej sytuacji, że mieli pod ręką Murzynów. A u nas nawet nie było kogo bić...

Panowie fanboje nie raczyli zauważyć tej subtelnej różnicy, że w Androidzie możliwość instalacji aplikacji spoza oficjalnej dystrybucji jest opcją, dostępną dla każdego, kto ma taki kaprys i na własną odpowiedzialność zdecyduje się odpowiednio skonfigurować swój telefon. W hermetycznie zamkniętym iOS, który traktuje swoich userów jak niedorozwinięte, ubezwłasnowolnione dzieci i nie dopuszcza żadnej samowolki, taka "okazja" to nie żaden ficzer, to po prostu zwykły babol...

---

Źródło: PCWorld, MyApple