Фото: Скріншот AppStore
Цензура в Apple поверхнева - програмісти
Фахівці з Технологічного інституту Джорджії показали механізм публікації в офіційному магазині Apple App Store, через який користувачі iPhone, iPad та iPod touch викачують програми на свої гаджети, шкідливої програми, пише Technology Review.
Зазначимо, що під час публікації в App Store
кожної нової програми Apple вивчає її на присутність шкідливого коду і лише
після того, як додаток вважають нешкідливим, викладає його в каталозі. Група
експертів на чолі з Телей Ваном зуміла обдурити систему перевірки.
Дослідники підготували додаток під кодовою
назвою Jekyll із досить елементарною функцією - показ новин з сайту інституту,
працівниками якого вони є. Причому додаток вмикали елементи шкідливого коду,
закамуфльовані як код нешкідливої програми. Самі по собі ці фрагменти були
безпечні і не викликали підозр.
Після того, як Apple опублікувала на перший
погляд безпечну програму Jekyll в App Store, дослідники, користуючись
заздалегідь відомим їм "дірками" у своїй програмі, змогли зламати
свій додаток на гаджетах користувачів.
В експерименті брали участь лише власні iOS-пристрої
вчених. Додаток перебував в App Store лише 3 хвилини - цього вистачило для
того, щоб завантажити його на пристрої. Після цього він був прибраний
тестувальниками. Вони запевняють, що своїми діями ніякої загрози не становили.
Після злому програми на пристрої вчені давали
програмі команду переставити фрагменти коду, щоб отримати шкідливий алгоритм.
Далі вони запускали цей механізм, який дозволяв непомітно для господаря
пристрою постити твіти, робити фото за допомогою вбудованої камери, передавати
дані про пристрій, непомітно відправляти смс та електронні листи, а також
атакувати інші програми і навіть використовувати вразливості в ядрі ОС.
Дослідники наголосили, що процес аналізу програми
компанією Apple зайняв лише кілька секунд, що вказує на його поверхневий
характер.
"За допомогою даного експерименту ми
хотіли показати, що перевірка додатків на наявність шкідливого коду, яку
виконує Apple, не є ефективною. Компанія виконує стандартну статичну перевірку,
тоді як алгоритми, що динамічно генеруються, залишаються непоміченими", -
зазначив Лонг Лу, один з учасників тестів.
Нагадаємо, що минулого тижня в новому рейтингу
найбільш інвестиційних компаній планети Apple втратила близько півсотні
позицій.