Vad är Apple att hålla hemligt?
Apple har publicerat ett uttalande i dag att disputera några av de fakta om en nyligen hacka kampanj upptäckt av Google säkerhet forskare.
Apple ‘s rebuttal mål i en serie av blogginlägg Project Zero, Google’ s elite security team, som publicerades den 30 augusti.
De blogginlägg som innehöll information om en samordnad kampanj som används 14 sårbarheter spridda över fem utnyttja kedjor för att infektera iOS-användare med skadlig kod när du besöker vissa webbplatser.
Google säger att kampanjen startade i September 2016 och varade till januari 2018, när deras personal upptäckte den skadliga webbplatser och rapporterade attackerna mot Apple, som sedan flyttas i att lappa en zero-day missbrukas i hacks.
Det var senare rapporterades att kampanjen var ett verk av Kinesiska staten sponsrade hackare, och syftade på den Uiguriska Muslimska befolkningen som bor i Kina och utomlands. En annan rapport sa också att Android och Windows-användare var också riktad med skadlig kod planterade på liknande platser, som också syftar till samma Uighuir minoritet.
Men i sin blogg inlägg, Google inte avslöja målet för dessa attacker, och används generellt för att beskriva hacks, som Apple nu tvister.
Apple ‘ s rebuttal
“För det första sofistikerad attack var snävt inriktad, inte en bred utnyttja iphone ‘en masse’ som beskrivs,” sade Apple.
“Attacken drabbade färre än ett dussin webbplatser som fokuserar på innehåll som är relaterat till den Uiguriska gemenskapen.”
“För det andra, allt tyder på att dessa webbplats attacker var endast i drift under en kort period, ungefär två månader, inte “två år” som Google antyder,” sade Apple. “Vi fast sårbarhet i frågan i februari — arbetar extremt snabbt för att lösa problemet, bara 10 dagar efter att vi har lärt oss om det. När Google kom till oss, vi var redan i färd med att fastställa den utnyttjas fel.”
Cupertino-företaget, som är baserat sade iPhone-kunder nådde ut, fråga om deras säkerhet, på grund av Googles felaktiga rapporten.
Och Apple är inte ensamma om dessa påståenden. Tidigare denna vecka, Yonathan Klijnsma, Chef för Hot Forskning på RiskIQ, berättade ZDNet i en privat konversation att attackerna var verkligen mycket målinriktad, och att Google hade fel i sin första bedömning. Han senare delade samma tankar i en offentlig tweet.
En sak missförstått något är omfattningen av P0 & @volexity publicerad kampanj(s). Detta vattenhål var inte för alla. Injektioner planterades på särskilda områden som besökts av vissa samhällen med land filtrering.
Från Apr => Sept såg vi endast 166 nyttolast önskemål f.e. pic.twitter.com/vSkDnQ6m27
— Yonathan Klijnsma (@ydklijnsma) 2 September 2019
I tweet, han citerade forskning som publiceras av cyber-bevakningsföretag Volexity som närmare en kampanj liknande den som beskrivs av Apple, men som riktade sig till Android användare i stället för iOS-användare.
Klijnsma sade att telemetri data från RiskIQ Passiva Totalt plattform visade att nyttolasten inriktning Android-användare som utlöses endast 166 gånger, en mager antal och långt från att vara en massa utnyttjande kampanj, och var i samklang med de attacker som syftar till att iOS-användare.
Han berättade också ZDNet att den skadliga koden planterade på de webbplatser som används i dessa attacker också innehöll filter. Dessa filter förhindrar att skadlig kod körs, om inte vissa villkor var uppfyllda. Dessa villkor var hårda, och hindrade kod från att köras på enheterna som på ett slumpmässigt användare.
Google står genom sin forskning och forskare
I ett uttalande skickat till ZDNet säger Google att det står fast vid sitt ursprungliga forskning, trots att Apple ‘ s rebuttal.
“Project Zero inlägg teknisk forskning som syftar till att utveckla förståelsen av säkerhetsproblem, vilket leder till bättre defensiva strategier,” en Google-talesman sade. “Vi står fast vid vår djupgående forskning som skrevs för att fokusera på de tekniska aspekterna av dessa sårbarheter.”
Dessutom, under den senaste veckan har Google lambasted av it-säkerhet i samhället för att bara lämna ut information om samordnad kampanj som riktar sig till iOS-användare, men inte en som riktade Android-enheter.
Men Tim Willis, en Google-Project Zero ledamot sade att detta inte var ett tecken på att Google är falsk (och försöker sabotera en rival på den mobila OS-marknaden), men att Google forskare bara såg skadlig kod inriktade på iOS-enheter.
“[Google ‘ s Hot Analys Grupp] såg bara iOS exploatering på dessa platser när TAG hittade tillbaka dem i Jan 2019,” sade han, “och ja, de såg ut för allt det andra också.”
… TAG *bara* såg iOS exploatering på dessa platser när TAG hittade tillbaka dem i Jan 2019 (och ja, de såg ut för allt annat också).
Som sagt, någon där ute med hela kedjan 0day in-the-wild från Android / Windows, känn dig fri att nå ut och vi skulle älska att ta en titt!
— Tim Willis (@itswillis) 2 September 2019
Willis’ assertment, gjort på September 2, bekräftades tre timmar senare, när Volexity publicerade sin rapport om hacking kampanj som riktar sig till Android användare, där bolaget bekräftat att det inte var någon överlappning mellan Android och iOS kampanjer.
Slutsatsen här är att Apple är rätt i och kallar Google, åtminstone på den första punkten-att kampanjen inte var en en-massa hacka spree som syftar till att slumpmässiga iPhone-användare, utan snarare en mycket målinriktad verksamhet.
De flesta it-säkerhet community påpekade också att Apple själva är pretentiöst för att det misslyckades med att varna användarna när det lärt sig av detta dataintrång kampanj tillbaka i februari. De flesta tech-företag som tydligt markera sårbarheter som är under attack i säkerhetsuppdateringar. Men Apple har aldrig gjort detta och det tog inte nämna tillbaka i februari att några av de buggar fast det var under aktiv användning.
Ja, Google kan ha överdrivit sina påståenden, men Apple är inte offret här. Den Uiguriska minoriteten, som Apple misslyckats med att skydda.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter