En stor feil i Apples FaceTime-funksjonen slik at innringere til å tyvlytte på anropsmottakere var utbredt offentliggjort i går, nesten tre måneder etter at feilen kan ha blitt introdusert. Apple har gjort et poeng av fakturering seg selv som personvern-bevisste voksne blant tech gigantene, og det benytter vanligvis strenge sikkerhetstiltak og en grundig tilnærming til jakt bugs. Så i dette tilfellet, hvorfor ikke Apple fange en så stor feil før det gikk offentlig?
En del av problemet er grov historie av funksjonen selv. Feilen har å gjøre med FaceTime er ny gruppe chatte-funksjonen, som Apple trukket fra nyere iOS 12 betaer og forsinket utgivelsen av til denne siste oktober. Tre måneder er lang tid for en bug dette dårlig til å være aktiv, men det betyr også at brukere har ikke hatt mye tid til å oppdage denne typen merkelig oppførsel. (Apple har trukket Gruppen FaceTime-funksjonen i påvente av en patch. Vi har nådd ut til Apple for kommentar om når og hvordan de første gang hørte om det er en feil, eller hvis laget uavhengig oppdaget det.)
“Du er som,” Wow, hvordan gjorde at få gjennom testing?'”
Et annet problem er arten av feilen, som satte den like utenfor rekkevidden av konvensjonelle bug testing. Jake Williams, grunnlegger av Gjengivelse Infosec, sier den mest grunnleggende form for bug testing er en automatisert prosess som kalles “fuzzing,” som han sier, innebærer at vi sender en feil formatert inngang for å se om systemet bryter (for eksempel sette inn en 20-tegns passord i stedet for 15-tegn maks). Men FaceTime-bug som deles med en kjede av uvanlig UI manøvrer snarere enn en bestemt inngang, så ville det ha gått gjennom en fuzzing test ubemerket hen.
Feilen ville ha vært mer sannsynlig å slå opp i kvalitetssikring testing, som innebærer reelle bruke eksempler med reelle brukere. Men å kalle ditt eget telefonnummer når du starter en samtale med noen andre er relativt sjeldne, så det kunne lett ha glidd gjennom sprekker. Williams er ikke overrasket over en tilfeldig person funnet det før Apple faktiske security team.
“Jeg tror det er hvordan feilen gikk ut døren, sier han. “Vi har sett en rekke av disse i de årene du går tilbake og du er som,” Wow, hvordan gjorde at få gjennom testing?’ Men så, når du tenker på det, du liker, ‘Vel, det er en utkant situasjon, og hvorfor ville noen som har testet dette? Det er en av de rare logikk feil.'”
“Det er veldig kreativ hacker sinn.”
Apples security team sannsynlig er det ikke å skylde på, sier Katie Moussouris, administrerende DIREKTØR og grunnlegger av Luta Sikkerhet. I stedet kan problemet har å gjøre med Apples svar på bug-rapporter fra det offentlige. Hun bemerker at Apple er blant de 6 prosent av Forbes 2000 selskaper som faktisk har publisert en måte å rapportere bugs.
“Jeg tror hva de savnet her var det en mulighet til å trene deres støtte ansatte og deres sosiale medier ansatte på rask ruting av sikkerhet bugs, eller potensielle sikkerhet bugs til høyre team,” sier hun.
Feilen var tydeligvis anmeldt av en nysgjerrig tenåring åtte dager før det gikk offentlig. Teen er mamma sier hun rapporterte feilen gjennom Apple support, og når hun ikke får svar, kan hun mailet og fakses en formell melding til selskapet. Apple, Moussouris antyder, har kanskje sett disse rapportene, men fokuserte på å undersøke feil og prøve å gjenskape det, i stedet for å åpne en linje for kommunikasjon med reporteren.
“Dette er et publikum som prøver å rapportere hva som var en ganske alvorlig sikkerhet og personvern hull, og de slet i begynnelsen for å finne riktig kontakt, sier hun. “Så til dem, Apple ser ut som en svart boks som ikke er responsiv, fordi de allerede har prøvd alle disse kanalene som virker logisk. Jeg tror at Apple trolig var i ferd med å gjøre sine undersøkelser, men det var egentlig ikke hjulpet av det faktum at det var betydelige forsinkelser i begynnelsen.”
Som sagt, det er uklart om Apple noensinne har sendt en melding som sier at det fikk rapporten i første omgang. Moussouris sier at ISO-standarden for sårbarhet tilgjengeliggjøring bare krever at selskapet erkjenner at den har mottatt rapporten, og at feil kan ta lang tid å rette. Googles Project Zero, som forsøker å finne zero-day bugs, gir selskapene 30 til 60 dager til å svare på en rapport. Denne reporteren har kanskje ikke kjent hva Apple var å ta på seg slutten.
Noe av dette mysteriet kan rettes opp hvis Apple og andre selskaper setter klare forventninger rundt rapportering, forteller forskerne at de er ute i feilen og for å holde offentliggjøring av private.
“Ideelt sett organisasjoner har forsøkt å eliminere så mange bugs fra sin egen kode før levering som mulig,” sier hun. “Men etter at faktum, og du vet at de kommer til å være feil igjen, det er veldig kreativ hacker sinn ut av det, og som du kan fortelle, svært kreative tenåringer.”