Áll a bál az iOS biztonsága körül
Rendkívüli támadás áldozatai voltak az iOS-felhasználók - mondja a Google Project Zero augusztus végén publikált blogbejegyzése. A kimerítő részletességű elemzés szerint a frissebb iOS-verziók (10.0.1-től 12.1.2-ig) kisebb biztonsági sebezhetőségek sorát tartalmazták, amelyeket láncba fűzve a rendszer távolról, egy weboldal meglátogatásával támadható.
Az elemzés szerint a támadássorozat öt különböző támadó kódot használt, amelyek összesen 14 különböző biztonsági sebezhetőséget használtak ki az iOS kódjában. A sikeres támadás teljesen kiszolgáltatja az áldozat eszközét: fotók, emailek, bejelentkezési adatok (felhasználó-jelszó párosok) is elérhetőek a támadó számára. A vizsgálat kimutatta, hogy a rosszindulatú eszközök fejlesztése az iOS fejlesztésével párhuzamosan zajlott, így mintegy 2 éven keresztül tudták az egyébként naprakészre frissített eszközöket támadni.
Ki volt veszélyben?
A Google még csak finoman utalgatott rá, az Apple és később mások is egyértelműen kimondták, hogy a támadás a kínai ujgurok ellen irányult - feltételezhetően kínai állami hátterű támadásról van szó. A népcsoportot kimondottan az ujgur híreket publikáló weboldalakon keresztül célozták a támadók, a mintegy tucatnyi portál látogatói voltak tehát veszélyben. A becslések szerint a rendkívül fejlett támadásnak mintegy ezres nagyságrendű áldozata lehet - őket viszont (amennyiben iOS-es eszközt használtak a böngészésre) válogatás nélkül megfertőzte meg és szolgáltatta ki.
Az Apple múlt hét végén közzétett blogjegyzésében viszont vitatja a Google biztonsági kutatóinak egyes megállapításait – amivel a független szakértőket is erős fejcsóválásra késztette. Az Apple álláspontja szerint a támadás "szűk fókusszal" zajlott és nem támadta az iPhone-okat "tömegesen", és visszautasítja azt a megállapítást is, hogy a támadás "egész népcsoportok valósidejű megfigyelését" tette lehetővé. Ezzel párhuzamosan a bejegyzés nem ítéli el az elkövetőket és nem tér ki arra sem, hogy a brutálisan elnyomott ujgur populáció emberi jogait mélyen sértő támadássorozatról beszélünk.
Mennyire biztonságos az iOS?
Az iOS-t hagyományosan a biztonságosabb mobilos operációs rendszernek tartja a szakma, amely rendszeresen (és hosszú távon) kap biztonsági frissítéseket, a beépített biztonsági funkciók révén pedig több rétegű védelmet nyújt mindenféle fenyegetéssel szemben. Ezzel szemben az általános nézet az Androidról sokkal kevésbé hízelgő: az ökoszisztéma fragmentált, a gyártók saját fejlesztéseikkel hígítják az Android kódját, ráadásul vonakodnak kiadni rendszeres biztonsági frissítéseket is.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A fenti hír kapcsán a vita most újra fellángolt: mennyire is tekinthető biztonságosnak az iOS? A kritikusok szerint ugyanis mára komoly problémává érett az iOS zártsága: a rendszer gyakorlatilag semmilyen API-t nem biztosít külső biztonsági alkalmazásoknak, a nagyvállalati mobileszköz-menedzsmenten túl nem lehet beletekinteni a rendszer védettségi állapotába. Így a modern védelmi megoldások, amelyek klasszikus antivírust kombinálnak hálózatiforgalom-vizsgálattal és nagymintás analitikával (és tonnányi más eszközzel) egyszerűen kiszorulnak a platformról.
Az Android ezzel szemben tetszés szerint ruházható fel újabb és újabb védelmi szintekkel, ami igazán biztonságkritikus környezetben fontos szempont. Ez persze nem az egységsugarú felhasználót jelenti, hanem olyan speciális eseteket, mint például egy nemzeti olajkonszern Kínába (vagy Oroszországba) utazó képviselője, politikai pártok (vagy épp választási bizottságok) eszközei – a sor folytatható. Ilyen esetekben felmerül, hogy az Android bizony jobban védhető platform lehet az iOS-szel összehasonlítva.