عيب كبير في ميزة FaceTime من Apple ، مما سمح على نطاق واسع أمس بالاتصال بالمتصلين على متلقي المكالمة ، وذلك بعد ثلاثة أشهر من ظهور الخلل. جعلت شركة Apple نقطة الفوترة نفسها كشخص بالغ مدرك للخصوصية بين عمالقة التكنولوجيا ، وعادة ما تستخدم إجراءات أمنية صارمة ونهج دقيق لصيد الحشرات. لذا في هذه الحالة ، لماذا لم تصادف أبل مثل هذا العيب الرئيسي قبل نشرها؟
جزء من المشكلة هو التاريخ التقريبي للموضع نفسه. يتعلّق الخلل بميزة الدردشة الجماعية الجماعية الجديدة لـ FaceTime ، والتي سحبت Apple منها لاحقًا iOS 12 betas وأخرت إصدارها حتى شهر تشرين الأول (أكتوبر) الماضي. ثلاثة أشهر هي وقت طويل لعلة هذا السوء لتكون نشطة ، ولكن هذا يعني أيضًا أن المستخدمين لم يكن لديهم الكثير من الوقت لاكتشاف هذا النوع من السلوك الغريب. (سحبت Apple ميزة FaceTime Group في انتظار التصحيح
مشكلة أخرى هي طبيعة الحشرة ، مما يجعلها خارج نطاق اختبار الأخطاء التقليدية. يقول جايك ويليامز ، مؤسس شركة Rendition Infosec ، إن أكثر أشكال اختبار الأخطاء هو عملية آلية تسمى "fuzzing" ، والتي يقول إنها تتضمن إرسال مدخلات منسقة بشكل غير صحيح لمعرفة ما إذا كان النظام يكسر (على سبيل المثال إدخال كلمة مرور من 20 حرفًا بدلاً من الحد الأقصى 15 حرفًا). لكن حشرة فيس تايم تعاملت مع سلسلة من المناورات غير العادية لواجهة المستخدم بدلاً من إدخال معين ، لذلك كانت قد مرت من خلال اختبار مزعج دون أن يلاحظه أحد.
كان من المرجح أن يظهر هذا الخطأ في اختبار ضمان الجودة ، والذي يتضمن أمثلة استخدام في العالم الحقيقي مع مستخدمين حقيقيين. ولكن الاتصال برقم هاتفك الخاص بعد إجراء مكالمة مع شخص آخر أمر نادر نسبيًا ، لذلك كان من الممكن أن ينزلق بسهولة عبر الشقوق. لم يفاجأ ويليامز شخصًا عشوائيًا عثر عليه قبل فريق الأمان الفعلي التابع لشركة Apple.
"أعتقد أن هذه هي الطريقة التي خرج بها الباب من الباب" ، كما يقول. "لقد رأينا عددًا من هذه الأمور على مر السنين تتراجع فيها ، كيف حدث ذلك من خلال الاختبار؟ ،" حسنًا ، إنه سيناريو هامشي ولماذا قام شخص ما باختبار ذلك؟ انها واحدة من تلك الأخطاء المنطقية الغريبة "."
"" هناك عقول مخترقة مبدعة للغاية. "
من غير المحتمل أن يقع اللوم على فريق الأمن في شركة Apple ، كما تقول كاتي موسوريس ، الرئيس التنفيذي ومؤسس شركة Luta Security. بدلاً من ذلك ، قد تكون المشكلة متعلقة برد شركة Apple على تقارير الأخطاء من الجمهور. وتلاحظ أن شركة آبل من بين 6 في المائة من شركات فوربس 2000 التي لديها بالفعل طريقة منشورة للإبلاغ عن الأخطاء.
"أعتقد أن ما فاتهم هنا كان فرصة لتدريب موظفي الدعم وموظفي وسائل الإعلام الاجتماعية على التوجيه السريع للأخطاء الأمنية ، أو الأخطاء الأمنية المحتملة للفريق الصحيح" ، كما تقول.
على ما يبدو تم الإبلاغ عن الأخطاء من قبل المراهقين الفضوليين قبل ثمانية أيام من إعلانها. تقول أم المراهق إنها أبلغت عن خطأ من خلال دعم شركة Apple ، وعندما لم تتلق ردًا ، أرسلت بريدًا إلكترونيًا وأرسلت له إشعارًا رسميًا إلى الشركة. قد تتكهن أبل ، كما يعتقد موسوري ، بهذه التقارير ، ولكنها ركزت على التحقيق في الخطأ وتحاول إعادة إنشائه بدلاً من فتح خط اتصال مع الصحفي.
"هذا هو عضو في الجمهور الذي يحاول الإبلاغ عن ما كان فجوة أمنية وخصوصية خطيرة للغاية ، وكافحوا في البداية للعثور على الاتصال الصحيح" ، كما تقول. "بالنسبة إليهم ، تبدو آبل وكأنها صندوق أسود غير مستجيب ، لأنهم قد جربوا بالفعل كل هذه القنوات التي تبدو منطقية. أعتقد أن شركة أبل كانت على الأرجح في طور إجراء تحقيقها ، ولكن لم يتم تقديم المساعدة لها في الواقع من خلال وجود تأخيرات كبيرة في البداية ".
ومع ذلك ، ليس من الواضح ما إذا كانت شركة Apple قد أرسلت رسالة تفيد بأنها تلقت التقرير في المقام الأول. يقول Moussouris أن معيار ISO للكشف عن الضعف يتطلب فقط أن تقر الشركة بأنها تلقت التقرير ، وأن الأخطاء قد تستغرق وقتًا طويلاً للعلاج. يمنح مشروع Google Zero ، الذي يحاول العثور على أخطاء في اليوم صفر ، الشركات 30 إلى 60 يومًا للرد على أي تقرير. قد لا يكون هذا المراسل قد عرف الإجراء الذي تتخذه Apple في نهايته.
يمكن معالجة بعض من هذا اللغز إذا وضعت شركة Apple وغيرها من الشركات توقعات واضحة حول إعداد التقارير ، قائلة للباحثين أنهم يبحثون عن الأخطاء وأن يبقوا على الإفصاح الخاص.
"من الناحية المثالية ، حاولت المنظمات القضاء على العديد من الأخطاء من التعليمات البرمجية الخاصة بهم قبل الشحن قدر الإمكان" ، كما تقول. "لكن بعد هذه الحقيقة ، تعلمون أنهم سيبقون ثغرات ، هناك عقول مخترقة مبدعة للغاية ، كما يمكنك أن تقول ، مراهقين مبدعين للغاية.
0 التعليقات
إرسال تعليق