Securitatea iPhone, mai slabă decât ai crede: ce au descoperit experții în cibernetică
În cadrul unei postări din 2019, Apple anunța remedierea unei vulnerabilități de securitate în sistemul său de operare iOS, în încercarea de a-și liniștii clienții. Totuși, în cadrul unui hackaton s-a demonstrat că securitatea iPhone are în continuare o vulnerabilitate.
Atacul de la acea vreme a exploatat vulnerabilitatea, însă Apple a afirmat că a fost ”concentrat în mod restrâns” pe site-urile web unde se găsește conținut legat de comunitatea uigură. Vulnerabilitatea în cauză a fost descoperită la competiția de hacking din China, Cupa Tianfu, unde un hacker profesionist a câștigat premiu pentru descoperirea sa, potrivit postării Apple.
Deși protocolul ar fi acela de a informa Apple despre vulnerabilitate, se presupune că în schimb, încălcarea a fost păstrată secretă, astfel că guvernul chinez a achiziționat-o pentru a spiona minoritatea musulmană a țării. Competițiile de hacking reprezintă o modalitate stabilită pentru companiile de tehnologie precum Apple de a localiza și de a rezolva punctele slabe ale securității cibernetice a software-ului lor.
Dar odată cu creșterea hacks-urilor susținute de stat, sugestia că Tianfu hrănește Beijingul cu noi modalități de supraveghere este îngrijorătoare, mai ales din moment ce concurenții chinezi domină competițiile internaționale de hacking de ani de zile. Când software-ul este piratat, acest lucru se întâmplă adesea din cauza faptului că atacatorii au descoperit și au exploatat o vulnerabilitate a securității cibernetice pe care furnizorul de software nu o știa că există.
Găsirea acestor vulnerabilități înainte ca acestea să fie depistate de infractorii cibernetici sau hackeri sprijiniți de stat poate economisi furnizorilor de tehnologie o sumă imensă de bani, timp și lupte împotriva publicului.
Securitatea iPhone testată în cadrul competițiilor de hacking
Acesta este unul dintre motivele pentru care există astfel de competiții de hacking. Companiile tehnologice oferă premii în bani, iar cercetătorii în securitate cibernetică sau hackeri profesioniști concurează pentru a câștiga acest lucru, găsind punctele slabe de securitate ascunse în cel mai utilizat software din lume.
În cadrul uneia dintre cele mai bune competiții de hacking din America de Nord, Pwn2Own care a avut loc în luna aprilie, companii precum Zoom și Microsoft au fost pirtatate cu succes în cadrul evenimentului, dezvăluind dezvoltatorilor vulnerabilitățile din cadrul programelor dezvoltate de către companii.
Până în 2017, hackerii chinezi au plecat cu o proporție mare de premii oferite la Pwn2Own. Dar după ce un miliardar chinez a susținut că hackerii chinezi ar trebui să „rămână în China” din cauza valorii strategice a muncii lor, Beijingul a răspuns interzicând cetățenilor chinezi să concureze în competiții de hacking din străinătate. Cupa Tianfu din China a fost înființată la scurt timp, în 2018.
În primul său an, un hacker care a concurat în Cupa Tianfu a produs un hack premiat pe care l-a numit „Haos”. Hack-ul ar putea fi utilizat pentru a accesa de la distanță chiar și cele mai noi iPhone, genul de încălcare care ar putea fi ușor utilizat în scopuri de supraveghere. Google și Apple au văzut amândoi hack-ul „în sălbăticie” două luni mai târziu, după ce a fost folosit în mod intenționat împotriva utilizatorilor de iPhone uiguri.
Deși Apple a atenuat hack-ul în decurs de două luni, încercând să îmbunătățească securitatea iPhone, acest caz arată că aceste competiții exclusive de hacking naționale sunt periculoase, mai ales atunci când au loc în țări care solicită cetățenilor să coopereze cu cererile guvernului.
Atacurile ”zero-day” sau ziua zero
Competițiile de piratare sunt concepute pentru a expune vulnerabilitățile „zero-day”, puncte slabe de securitate pe care furnizorii de software nu le-au localizat sau prevăzut. Hackerii câștigători de premii ar trebui să împărtășească tehnicile pe care le-au folosit, astfel încât vânzătorii să poată concepe modalități de a le repara. Totuși, păstrarea privată a exploatărilor de zi zero sau transmiterea acestora către instituțiile guvernamentale crește semnificativ șansa ca acestea să fie folosite în atacuri de zi zero susținute de stat.
La începutul anului 2021, patru vulnerabilități de zi zero în serverul Microsoft Exchange au fost folosite pentru a lansa atacuri pe scară largă împotriva a zeci de mii de organizații. Atacul a fost legat de Hanium, un grup de hacking susținut de guvernul chinez. Cu un an mai devreme, hack-ul SolarWinds a compromis securitatea mai multor agenții federale americane, inclusiv Departamentul Trezorerie și Comerț și Departamentul Energie, care se ocupă de stocul nuclear al țării.
Hack-ul a fost legat de APT29, cunoscut și sub numele de „Cozy Bear”, care este departamentul de hacking al serviciului rus de informații externe, SVR. Același grup ar fi fost implicat în tentativa de piratare a organizațiilor care dețin informații despre vaccinurile COVID-19 în iulie 2020.În Rusia și China cel puțin, dovezile sugerează că bandele de infractori cibernetici lucrează îndeaproape și, uneori, interschimbabil, cu grupuri de hacking sponsorizate de stat.
Odată cu apariția Cupei Tianfu, China pare să aibă acces la un nou grup de talente de hackeri experți, motivați de premiile în bani ale competiției pentru a produce metode de hacking potențial dăunătoare pe care Beijingul ar fi dispus să le folosească atât acasă, cât și în străinătate.