Cosa c’è di Apple di mantenere il segreto?
Apple ha pubblicato una dichiarazione, oggi, contestando alcuni dei fatti a proposito di un recente hacking campagna scoperto da Google ricercatori di sicurezza.
Apple confutazione obiettivi di una serie di post sul blog di Project Zero, Google elite team di sicurezza, pubblicato il 30 agosto.
Il blog contiene informazioni su una campagna coordinata che usato 14 vulnerabilità distribuite in cinque sfruttare catene per infettare gli utenti iOS con malware quando si visitano siti specifici.
Google ha detto che la campagna è iniziata nel settembre del 2016 e durò fino al gennaio 2018, quando il loro personale scoperto i siti dannosi e segnalati attacchi di Apple, che poi si trasferì in una patch zero-day abusato della hack.
E ‘ stato poi riferito che la campagna è stata l’opera di stato Cinese sponsorizzato da hacker, e si è rivolto a Uighur popolazione Musulmana che vive in Cina e all’estero. Un altro rapporto ha anche detto che Android e gli utenti di Windows sono state prese di mira anche con codice dannoso piantato su siti simili, finalizzati anche allo stesso Uighuir di minoranza.
Ma nel suo blog, Google non ha rivelato il bersaglio di questi attacchi, e utilizzato ampio termini per descrivere la hack, che Apple ora controversie.
Apple confutazione
“In primo luogo, il sofisticato attacco era circoscritta, non con un’ampia base di sfruttare di iphone “en masse”, come descritto di Apple”.
“L’attacco interessato meno di una dozzina di siti web che si concentrano su contenuti relativi alla Uighur comunità”.
“In secondo luogo, tutte le prove indicano che questi gli attacchi ai siti web erano operativi solo per un breve periodo, circa due mesi, non due anni come Google implica di Apple”. “Abbiamo risolto la vulnerabilità in questione nel mese di febbraio — lavorare in modo estremamente rapido, per risolvere il problema, appena 10 giorni dopo che abbiamo imparato a conoscere. Quando Google si è avvicinato a noi, eravamo già nel processo di fissaggio del sfruttato bug.”
Cupertino-based società ha detto che i clienti di iPhone raggiunto, preoccupati per la loro sicurezza, grazie a Google erroneo rapporto.
E Apple non sta in piedi da solo su queste affermazioni. All’inizio di questa settimana, Yonathan Klijnsma, Testa di Minaccia e di Ricerca presso RiskIQ, ha detto a ZDNet in una conversazione privata che gli attacchi erano davvero molto mirati, e che Google era sbagliato nella sua valutazione iniziale. Successivamente ha condiviso lo stesso pensiero, in un tweet pubblico.
Una cosa frainteso un po ‘ è il campo di applicazione del P0 & @volexity pubblicato campagna(s). Questo foro di irrigazione non era per tutti. Le iniezioni sono state piantate sui siti visitati dagli specifici per le comunità con il paese di filtraggio.
Apr => Settembre abbiamo visto solo 166 payload richieste f.e. pic.twitter.com/vSkDnQ6m27
— Yonathan Klijnsma (@ydklijnsma), il 2 settembre 2019
Nel tweet, ha citato una ricerca pubblicata da cyber-sicurezza ditta Volexity, che ha dettagliato una campagna simile a quella descritta da Apple, ma che ha preso di mira gli utenti Android, invece di utenti iOS.
Klijnsma ha detto che i dati di telemetria da RiskIQ Passiva Totale piattaforma ha mostrato che il “carico” di targeting per gli utenti Android attivati solo 166 volte, un numero esiguo e lungi dall’essere una massa di sfruttamento campagna, ed era in sintonia con gli attacchi rivolti a utenti di iOS.
Egli ha anche detto a ZDNet che il codice dannoso piantati sui siti utilizzati in questi attacchi conteneva anche i filtri. Questi filtri per impedire l’esecuzione di codice dannoso a meno che non sono state soddisfatte determinate condizioni. Queste condizioni sono severe, e ha impedito l’esecuzione di codice sui dispositivi casuale utenti.
Google sta facendo la sua ricerca e i ricercatori
In una dichiarazione inviata a ZDNet, Google ha detto che si distingue per il suo originale di ricerca, nonostante Apple confutazione.
“Project Zero posti di tecnico di ricerca che è stato progettato per avanzare la comprensione delle vulnerabilità di sicurezza, che porta a migliori strategie difensive,” un portavoce di Google ha detto. “Ci troviamo con la nostra ricerca approfondita che è stato scritto per concentrarsi sugli aspetti tecnici di queste vulnerabilità.”
Inoltre, la scorsa settimana, Google è stato criticato dal cyber-comunità di sicurezza solo per rivelare dettagli sulla campagna coordinata di targeting per gli utenti iOS, ma non è quello che ha preso di mira i dispositivi Android.
Tuttavia, Tim Willis, un Progetto di Google Zero membro ha detto che questo non era un segno di Google doppiezza (e cercando di sabotare una rivale sul sistema operativo mobile di mercato), ma che Google ricercatori visto solo il codice dannoso targeting per dispositivi iOS.
“[La Minaccia di Google di Analisi di Gruppo] visto solo iOS sfruttamento su questi siti quando TAG li ha trovati indietro nel gennaio 2019”, ha detto, “e sì, hanno cercato per tutto il resto pure.”
… TAG *solo* visto iOS sfruttamento su questi siti quando TAG li ha trovati indietro nel gennaio 2019 (e sì, hanno cercato per tutto il resto pure).
Detto questo, qualcuno là fuori con tutta la catena 0day in-the-wild da Android / Windows, non esitare a contattarci e ci piacerebbe dare un’occhiata!
— Tim Willis (@itswillis), il 2 settembre 2019
Willis’ assertment, effettuata il 2 settembre, è stato confermato tre ore più tardi, quando Volexity pubblicato il suo rapporto sull’hacking campagna di targeting per gli utenti Android, in cui l’azienda ha confermato che c’è stata alcuna sovrapposizione tra Android e iOS campagne.
La conclusione qui è che Apple è proprio nel richiamo di Google, almeno sul primo punto-che la campagna non era un bagno en-hacking di massa spree finalizzato a caso gli utenti di iPhone, ma piuttosto un operazione mirata.
Tuttavia, la maggior parte di cyber-security comunità, inoltre, sottolineato che la Apple è pretenzioso perché non è riuscito ad avvisare gli utenti quando è venuto a conoscenza di questo hacking campagna a febbraio. Più tech chiaramente segno di vulnerabilità che sono sotto attacco negli aggiornamenti di sicurezza. Ma Apple non ha mai fatto questo, e non menzione nel mese di febbraio scorso che alcuni dei bug è stato risolto erano in attivo di sfruttamento.
Sì, Google potrebbe avere esagerato le sue affermazioni, ma Apple non è la vittima qui. La minoranza Uigura è che Apple non è riuscito a proteggere.
Sicurezza
Android app Google Play con 100 milioni di download inizia a distribuire malware
Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack
Un nuovo IOT botnet sta infettando Android-based set-top box
Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati