Apple заявляет, что исследователи могут проверять ее инструменты CSAM, но подает в суд на стартап, который может это сделать.

appleзаявляетчтоисследователимогутпроверятьееинструментыcsamноподаетвсуднастартапкоторыйможетэтосделать

Когда Apple анонсирует новую технологию , которая проверяет свою службу iCloud в США на наличие известных материалов о сексуальном насилии над детьми , он был встречен яростной критикой из-за опасений, что функция может быть использована для широкого правительственного надзора . Столкнувшись с общественным сопротивлением, Apple настаивала на том, чтобы ее технологии были привлечены к ответственности.

«Исследователи безопасности постоянно могут самоанализировать то, что происходит в системе Apple. программного обеспечения », – сказал вице-президент Apple Крейг Федериги в интервью Wall Street Journal. «Так что, если были внесены какие-либо изменения, которые должны были каким-то образом расширить рамки этого – таким образом, который мы обязались не делать – есть возможность проверки, они могут заметить, что это происходит».

Apple подает в суд на компанию, которая производит программное обеспечение, чтобы исследователи в области безопасности могли делать именно это.

В 2019, Apple подала иск против Corellium, который позволяет исследователям в области безопасности дешево и легко тестировать мобильные устройства, эмулируя их программное обеспечение, вместо того, чтобы требовать от них доступа к физическим устройствам. Программное обеспечение, которое также имитирует устройства Android, может быть использовано для решения этих проблем.

В иске Apple утверждала , что Corellium нарушает его авторские права, разрешает продажу программных эксплойтов, используемых для взлома, и не должен существовать. В ответ стартап заявил, что использование кода Apple является классическим защищенным примером добросовестного использования. Судья до сих пор в основном на стороне Кореллиума. Часть двухлетнего дела была урегулирована только на прошлой неделе – через несколько дней после того, как стало известно о технологии CSAM компании.

В понедельник Кореллиум объявил $ 17, 000 грант на программу, которую она специально продвигает как способ взглянуть на iPhone под микроскопом и привлечь Apple к ответственности. Во вторник Apple подала апелляцию , продолжая судебный процесс.

В интервью с MIT Technology Review, главный операционный директор Corellium, Мэтт Тейт, сказал, что комментарии Федериги не соответствуют действительности.

«Для Apple это очень дешево, – говорит он. . «В этом утверждении происходит много тяжелой работы».

«iOS спроектирована таким образом, что на самом деле людям очень сложно проверять системные службы».

«iOS разработана таким образом, что на самом деле людям очень сложно проводить проверку системных служб ».

Мэтт Тейт, Corellium

Он не единственный, кто оспаривает позицию Apple.

«Apple преувеличивает способность исследователя исследовать систему как – говорит Дэвид Тиль, технический директор Стэнфордской обсерватории Интернета. Тиль, автор книги под названием Безопасность приложений iOS , написали в Твиттере , что компания тратит большие средства, чтобы предотвратить то же самое. претензии возможны.

«Это требует запутанной системы важных эксплойтов, двоичных файлов с сомнительным источником и устаревших устройств», – написал он. «Apple потратила огромные суммы специально на то, чтобы предотвратить это и затруднить такое исследование».

Ответственность за наблюдение

Если вы Если вы хотите увидеть, как именно работает новая сложная технология Apple, вы не можете просто заглянуть внутрь операционной системы iPhone, который вы только что купили в магазине. Подход компании к обеспечению безопасности «огороженным садом» помог решить некоторые фундаментальные проблемы , но это также означает, что телефон предназначен для того, чтобы не пускать посетителей, независимо от того, нужны они или нет.

(Между тем телефоны Android кардинально отличаются. Хотя iPhone, как известно, заблокированы, все, что вам нужно сделать, чтобы разблокировать Android, – это подключить USB-устройство, установить инструменты разработчика

Подход Apple означает, что исследователи вынуждены вести нескончаемую битву с компанией, чтобы попытаться получить уровень понимания, который они требуется.

Есть несколько возможных способов, которыми Apple и исследователи безопасности могут проверить, что ни одно правительство не использует новые функции безопасности для детей в качестве оружия.

Apple может передать код для проверки – хотя это не то он сказал, что подойдет. Исследователи также могут попытаться реконструировать эту функцию «статическим» способом, то есть без выполнения реальных программ в реальной среде.

На практике, однако, ни один из этих методов не позволяет вам посмотреть на код, работающий в реальном времени на обновленном iPhone, чтобы увидеть, как он действительно работает в реальных условиях. Вместо этого они по-прежнему полагаются на доверие не только к открытости и честности Apple, но и к тому, что она написала код без каких-либо существенных ошибок или упущений.

Другой возможностью было бы предоставить доступ к системе участникам программы Apple Security Research Device Program для проверки заявлений компании. Но эта группа, как утверждает Тиль, состоит из исследователей не из Apple, и они связаны таким множеством правил в отношении того, что они могут говорить или делать, что это не обязательно решает проблему доверия.

«Apple потратила много денег, пытаясь помешать людям от возможности взломать телефоны “.

Дэвид Тиль, Стэнфордская обсерватория Интернета

Остается только два варианта. Во-первых, хакеры могут взломать старые iPhone, используя уязвимость нулевого дня. Это сложно и дорого, и его можно отключить с помощью патча безопасности.

«Apple потратила много денег, пытаясь помешать людям взламывать телефоны. , – объясняет Тиль. «Они специально наняли людей из сообщества нарушителей тюрем, чтобы сделать их более трудными».

Или исследователь может использовать виртуальный iPhone, который может отключить функции безопасности Apple. На практике это означает Corellium.

Существуют также ограничения на то, что может наблюдать любой исследователь безопасности, но если Apple сканирует вещи, помимо фотографий, отправляемых в iCloud, исследователь мог бы заметить это.

Однако, если что-либо, кроме материалов о жестоком обращении с детьми, попадет в базы данных, это будет невидимо для исследователей. Apple заявляет, что для ответа на этот вопрос потребуется, чтобы две отдельные организации по защите детей в разных юрисдикциях имели одинаковые изображения злоупотреблений в своих базах данных. Но он предлагал немного подробностей о том, как это будет работать, кто будет управлять базами данных, какие юрисдикции будут задействованы и каковы будут конечные источники базы данных.

Настоящие трудности

Тиль отмечает, что проблема, которую пытается решить Apple, реальна.

«Это не теоретическая проблема», – говорит он о материалах о сексуальном насилии над детьми. . «Это не то, что люди используют только в качестве предлога для осуществления слежки. Это актуальная проблема, которая носит широко распространенный характер и требует решения. Решение не похоже на избавление от подобных механизмов. Это делает их максимально непроницаемыми для злоупотреблений в будущем ».

Но, по словам Тэйта из Corellium, Apple пытается быть одновременно закрытой и прозрачной.

«Apple пытается получить свой пирог и съесть его тоже», – говорит Тейт, бывший специалист по информационной безопасности британской разведывательной службы GCHQ.

«Своей левой рукой они затрудняют взлом из тюрьмы и подают в суд на такие компании, как Corellium, чтобы помешать их существованию. Теперь правой рукой они говорят: «О, мы построили эту действительно сложную систему, и оказывается, что некоторые люди не верят, что Apple сделала это честно, – но это нормально, потому что любой исследователь безопасности может пойти дальше и доказать это. сами. »

« Я сижу здесь и думаю, что ты имеешь в виду, что ты можешь просто сделать это? Вы спроектировали свою систему так, что они не могут. Единственная причина, по которой люди могут делать такие вещи, – это вопреки вам, а не благодаря вам ».

Apple не ответила на запрос о комментарии.

Leave a comment

Your email address will not be published. Required fields are marked *

4 × 1 =