Saugumo ekspertai parodė kad Apple aplikacijų patikroje yra spragų

Nos Apple App Store, iš pirmo žvilgsnio gali pasirodyti kaip koks ADX Florence[1], kur patikrinama kiekviena aplikacija prieš jai atsiduriant App Store, bet saugumo ekspertai iš „Georgia Tech“ įrodė, kad ne viskas taip saugu kaip gali pasirodyti.

Kiekvienai iOS ar OS X aplikacijai, prieš atsiduriant App Store, Apple ją patikrina ir daugeliu atveju šios patikros užtenka, tačiau saugumo ekspertai iš „Georgia Tech“ sukūrė programėlę, kuri prasmuko pro Apple saugumo vartus ir nekliudoma pateko į App Store.

Georgia Tech sukurta aplikacija, tai „Georgia Tech News“ - naujienų aplikacija, kuri po kurio laiko geba pati save pakeisti ir susisiekia su aplikacijos kūrėjais laukdama nurodymų. „Tai mums leido sukurti naują aplikacijų elgsenos modulį, kurio nėra įdiegiant aplikaciją“, - sakė Long Lu, aplikaciją kūrusios komandos narys.

Anot Long Lu, šiuo būdu jie įrodė, kad Apple tikrindama aplikaciją, paleidžia ją ne ilgesniam kaip kelių sekundžių laikotarpiui, prieš ją patvirtinant. Aplikacijoje piktybinę veiklą vykdantis kodas suskirstytas į porą atskirų segmentų, kurie po kurio laiko, paleidus aplikaciją, susijungia į vieną ir pradeda savo veiklą. Apple nebuvo pakankamai ilgai atidariusi aplikacijos, kad tai aptiktų.

„Georgia Tech News“ programėlėje buvo paslėptas pakankamai bjaurus kodas, kuris gali siųsti elektroninio pašto laiškus, Twitter’io žinutes, fotografuoti, pasisavinti asmeninę informaciją ir įrenginio ID numerius bei užpulti kitas aplikacijas vartotojui visai to nežinant ir nepastebint. Kodas net sugeba nukreipti Appe Safari naršyklę į svetainę, kurioje pilna kitų piktybinių kodų. Žodžiu, atlieka visa tai, ko nei vienas mūsų nenorėtų.

Saugumo ekspertai, aplikaciją į savo įrenginį įdiegė iš App Store ir tuojau pat ją atšaukė. App Store aplikacija prabuvo vos kelias minutes ir niekas, išsyrus saugumo ekspertus iš Georgia Tech jos neįsidiegė.

Apple atstovas Tom Neumayr sakė, kad Apple atitinkamai sureagavo į šį vaizdingą saugumo spragos pranešimą ir atitinkamai pakeitė iOS aplikacijų patikrinimo procedūrą atitinkamai, tačiau kas būtent aplikacijų patikroje buvo pakeista Apple atstovas neatskleidė, nes ši procedūra, kaip ir daug kas Apple kompanijoje, yra apgaubta paslapties skraiste.

Tai nėra pirmasis, panašaus pobūdžio bandymas patikrinti Apple patikros procesą ir „Georgia Tech“ ekspertai nėra visiškai originalūs. 2011 metais, garsus saugumo ekspertas, „nulaužęs“ beveik kiekvieną Apple sukurtą įrenginį ir ne kartą laimėjęs prizus „Pwn2Own“ konkurse - Charlie Miller Apple Store patalpino aplikaciją, kuri paleidus ją antrą kartą atidarydavo vartus į jos kūrėjo serverį ir pastarasis galėjo prieiti prie įrenginyje saugomų duomenų. Tiesa, nekorektiškai pasielgęs ekspertas, po šio savo veiksmo nepranešė Apple apie tai, o pradėjo viešai girtis - Apple tuojau pat aplikaciją iš App Store išėmė, o Charlie Miller Apple programuotojo ID užblokavo visiems laikams.

Taigi, nors „apsirūpinti“ virusiuku ar kokiu kitu piktybiniu kodu turint Android įrenginį yra visiškai paprasta, šis „Georgia Tech“ eksperimentai įrodė, kad nors ir nedidelė, bet galimybė tokį džiaugsmą paturėti ir iOS įrenginyje - egzistuoja.