Vroclav Holub Nič bohužiaľ nie je bezchybné. To sa samozrejme vzťahuje aj na produkty Apple, prípadne na jeho operačné systémy. Čas od času sa preto objaví nejaká tá bezpečnostná chyba, ktorou sa cupertinský gigant väčšinou snaží čo možno opraviť nasledujúcou aktualizáciou. Zároveň kvôli tomu v roku 2019 otvoril program pre verejnosť, kedy vysokými čiastkami odmeňuje expertov, ktorí odhalia nejaké chyby a ukážu samotný proces. Takto si môžu ľudia prísť až na milión dolárov za chybu. Aj napriek tomu je však napríklad v iOS rad bezpečnostných zero-day chýb, ktoré Apple ignoruje.
Mohlo by vás zaujímať
Amaya Tomanová Riziká zero-day chýb
Možno si môžete klásť otázka, čo vlastne takzvaná zero-day chyba znamená. Nutné ihneď podotknúť, že označenie nultého dňa tak úplne nepopisuje dobu trvania ani nič podobné. Jednoducho by sa dalo povedať, že sa takto označuje hrozba, o ktorej sa ešte všeobecne nevie alebo na ňu prípadne neexistuje žiadna ochrana. Takéto chyby potom v softvéri existujú až do chvíle, kým ich autor neopraví, čo v prípade, keď o niečom podobnom napríklad ani nevie, môže zabrať až roky.
Prezrite si krásy nového radu iPhone 13:
Fotogaléria
Apple o podobných chybách vie, ale nerieši ich
Aktuálne sa dostala na povrch pomerne zaujímavá informácia, ktorú zdieľal anonymný bezpečnostný expert primárne poukazujúci na nefunkčnosť spomínaného programu, keď majú ľudia dostať odmenu za odhalenie chyby. Na túto skutočnosť teraz upozornil známy kritik Applu Kosta Eleftheriou, o ktorom sme na Jabĺčkari písali pred pár dňami v súvislosti s jeho konfliktom s Apple. Vráťme sa ale k samotným bezpečnostným chybám. Spomínaný expert tento rok medzi marcom a májom údajne nahlásil hneď štyri zero-day chyby a dalo by sa teda očakávať, že v súčasnej situácii už budú všetky opravené.
🚨Apple ignored this person. Now they're publishing multiple proofs-of-concepts:
“I've reported four 0-day vulnerabilities this year […], tri z nich sú stále v [iOS 15.0] a jeden bol fixed in 14.7, ale Apple decided to cover it up”🤯https://t.co/eKzq6BEupG
- Kosta Eleftheriou (@keleftheriou) September 24, 2021
Opak je ale pravdou. Tri z nich možno totiž stále nájsť v najnovšej verzii iOS 15, pričom tú štvrtú Apple opravil vo verzii iOS 14.7, avšak experta za pomoc nijako neodmenil. Skupina stojaca za objavením týchto nedostatkov údajne v minulom týždni kontaktovala Apple s tým, že pokiaľ sa im nedostane odpovede, tak všetky svoje poznatky zverejní. A keďže žiadna reakcia neprišla, tak tiež došlo k odhaleniu doterajších chýb v systéme iOS 15.
Jedna z týchto chýb súvisí s funkciou Game Center a údajne umožňuje každej nainštalovanej aplikácii z App Storu pristupovať k niektorým dátam o užívateľovi. Konkrétne sa tak jedná o jeho Apple ID (e-mail a celé meno), autorizačný token Apple ID, prístup k hárku kontaktov, správ, iMessage, komunikačných aplikácií tretích strán a ďalších.
Ako sa bude situácia vyvíjať naďalej?
Keďže došlo k zverejneniu všetkých bezpečnostných chýb, tak sa dá očakávať len jediné - teda že sa Apple bude chcieť čo možno najrýchlejšie zamiesť všetko pod koberec. Z tohto dôvodu je možné počítať s skorými aktualizáciami, ktoré tieto neduhy budú nejakým spôsobom riešiť. Zároveň to ale ukazuje, ako Apple vlastne s ľuďmi občas rokuje. Ak je pravda, že expert(i) chyby nahlásili už pred niekoľkými mesiacmi a doposiaľ sa nič nestalo, tak je pomerne pochopiteľná ich frustrácia.
