Никто не хочет сообщать в Apple об уязвимостях iPhone

ca69c14193a3435fa18220780befda12.jpg
Скриншот опроса, который провёл Джонатан Здзярски, бывший джейлбрейкер, а ныне специалист по безопасности. Недавно он перешёл на работу в Apple и удалил свой аккаунт в Twitter

В августе 2016 года Apple торжественно открыла программу выплаты вознаграждений за найденные уязвимости. Такие программы давно действуют практически у всех крупных IT-компаний. Долго сопротивлялась выплате вознаграждений Microsoft, но и она сдалась в 2013 году, запустив Microsoft Bounty Programs. Пожалуй, Apple оставалась последней среди производителей массовых продуктов, кто не платит хакерам, поэтому новость о начале выплаты вознаграждения была благоприятно воспринята сообществом.

Проблема только в том, что за прошедший год мы не слышали ни об одном случае, чтобы кто-то получил деньги от Apple. Возможно, им просто запрещено рассказывать об этом. А может быть, они предпочитают продавать эксплойты на чёрном рынке по гораздо более высокой цене.
Почему Apple так долго тянула и не вводила программу выплаты за уязвимости? Свою версию высказал бывший сотрудник компании, который работал в отделе безопасности, в комментарии Motherboard: «Apple не любит выпускать вещи — в том числе программу выплаты за уязвимости — пока не доведёт их до совершенства. Они перфекционисты». Сотрудник пожелал сохранить своё имя в неизвестности, поскольку нарушает соглашение о неразглашении информации (NDA).

В самом деле, если вы стремитесь довести проект до идеала — есть шанс никогда его не выпустить.

Но после скандала с ФБР стало понятно, что дальше тянуть нельзя. Напомним, что тогда ФБР долго требовала у Apple взломать систему шифрования на телефоне террориста, но Apple отказывалась сделать это, чтобы защитить остальных своих пользователей от прослушки. В конце концов, агенты ФБР справились с задачей без помощи Apple, оплатив услуги сторонней хакерской фирмы, в распоряжении которой был 0day-эксплойт для iOS. Спецслужбы заплатили очень большую сумму за этот эксплойт. Предположительно, более $1,3 млн. Газета The New York Times тогда писала, что хакеры не сообщили в Apple информацию о баге в системе, потому что у них не было стимула делать это. В смысле, не было финансового стимула — Apple тогда не платила за сообщения об уязвимостях.

«Яблочная» компания сделала правильные выводы и в августе запустила программу финансовых поощрений. Правда, она и здесь поступила по-своему, не так, как все. Хотя анонс программы был публичным, но в остальном Apple продолжила действовать скрытно. Условий программы нет в открытом доступе, а участвовать в ней можно только по приглашениям.

О размере вознаграждений мы знаем из презентации руководителя отдела безопасности Apple Ивана Крстича. Как было показано на одном из слайдов, максимальное вознаграждение $200 тыс. выплачивается за взлом компонентов прошивки Secure Boot. Минимальное — $25 тыс. за выход процесса из песочницы и доступ к персональным данным пользователя.

4ace1c444b691adc917f375ab34afc4a.png
Слайд из презентации Ивана Крстича

Есть мнение, что даже $200 тыс. — недостаточно высокая сумма для 0day к iOS. Эти эксплойты достаточно редкие, поэтому на чёрном рынке их стоимость гораздо выше. Например, вскоре после презентации Крстича фирма Zerodium повысила свои расценки на покупку эксплойтов для iOS. Так, за самую ценную вещь — удалённый джейлбрейк iOS 10 они платят уже $1,5 млн вместо предыдущих $500 тыс.

f8240460c63b4e9eb647bcaf633af34d.png
Новые расценки Zerodium

Ну и куда вы продадите джейлбрейк — в Apple за $200 тыс. или в Zerodium за $1,5 млн? Наверное, это риторический вопрос. Мало кого смутит, что Zerodium сотрудничает со спецслужбами и силовыми структурами разных стран, а её эксплойты могут использоваться для государственного шпионажа и прочих не очень красивых вещей.

Кстати, далеко не факт, что если Apple повысит цены на эксплойты до уровня серого рынка, то это решит проблему. Здесь экономика работает следующим образом. Если Apple повысит цены, то 0day для iOS станут ещё более редкими — и цены на сером рынке ещё больше вырастут. То есть мы вернёмся к тому, с чего начинали. Хотя де-факто незакрытых багов действительно станет меньше. В общем, это и есть главная цель программ оплаты за уязвимостей.

В данный момент покупателей 0day-уязвимостей можно разбить на три группы:

  1. Сама Apple.
  2. Криминал: мафия, преступные группировки и проч.
  3. Большие игроки, в том числе государственные спецслужбы: АНБ, Моссад, ГРУ, ИГИЛ (запрещена в России) и проч.


У Apple очень большие запасы денег в банках. Через скрытные дочерние компании она вывела в офшоры более $200 млрд. Эти деньги вполне можно использовать. Apple с лёгкостью может повысить награду за эксплойты настолько, что криминал (мафия, преступные группировки) не смогут с ней тягаться. Но она никогда не сможет конкурировать со спецслужбами, ресурсы которых практически безграничны и не ограничиваются только деньгами. У этих ребят всегда будут в распоряжении свои эксклюзивные 0day, что бы вы ни делали и какое вознаграждение ни назначали за раскрытие уязвимостей.

© Geektimes