פרויקט אפס, צוות גוגל המיועד במיוחד למציאת ליקויי אבטחה במערכות הפעלה קיימות, חשף בימים אלה את אחת ההתקפות הגדולות ביותר שקיבלה iOS מאז הקמתה. עד חמש פרצות אבטחה בתקופה של שנתיים הם ניצלו להתקנת תוכנות ריגול באייפון ובאייפד שלנו.
מהם אותם פגמים ביטחוניים? לאילו נתונים נחשפת? אילו מכשירים היו רגישים? איך הם עבדו? אנו הולכים להסביר לכם את כל הפרטים, ללא אחווה או אסון., ובשפה שכולם יבינו ללא בעיות.
חמישה ליקויים ביטחוניים
מהי הפרת אבטחה? מערכות הפעלה אינן מושלמות, אין מערכת בלתי פגיעה ולעולם לא תהיה. יש רק מערכות שהן מאובטחות יותר מאחרות משום שהן מקשות על ההאקרים, אך אם הם מעוניינים בכך, הם תמיד ימצאו פגמי אבטחה שהם יכולים לנצל. פגמי האבטחה הללו הם "חורים" שדרכם האקרים יכולים להיכנס למערכת שלנו ולעשות דברים שאינם מורשים, כמו להתקין תוכנות ריגול.
באייפון או באייפד שלנו אינך יכול להתקין שום תוכנה שאנו מוצאים, רק את התוכנה שנמצאת בחנות האפליקציות ושאפל בודקת. אפילו לתוכנה שנמצאת ב- App Store ואנחנו יכולים להתקין, יש מגבלות וישנן פונקציות שאין לה גישה אליהן, על סמך האבטחה שמציעה אפל למשתמשיה. אבל כמו שאמרנו, שום תוכנה אינה מושלמת ולעיתים מופיעים "חורים" שדרכם יישומים זדוניים יכולים להחליק. חמשת ליקויי האבטחה הללו עליהם אנו מדברים כיום אפשרו לכמה דפי אינטרנט שנוצרו על ידי האקרים להתקין תוכנות ריגול במכשירי ה- iOS שלנו ללא ידיעתנו, דבר שעוקף ללא ספק את כל אמצעי האבטחה של אפל.
אילו דפי אינטרנט הם? הם לא פורסמו, אך על פי המידע שהופיע ברשת, מדובר בדפים עם אידיאולוגיות פוליטיות מוגדרות היטב שנוצרו במפורש לגישה של קבוצות אוכלוסייה ספציפיות, לכן יש חשד שמאחורי ההתקפות הללו תהיה מדינה (או כמה) שמה שהם רוצים זה לרגל אחר קבוצות מסוימות של האוכלוסייה שלהם. אילו נתונים הם קיבלו? שיחות טלפון, הודעות, וואטסאפ, מברק, דפי אינטרנט, מיקום ... מידע בעל ערך רב ובשבילם הם היו משלמים סכומי כסף גדולים.
שלושה מהבאגים כבר תוקנו
פרויקט אפס הודיע לאפל על חמשת פגמי האבטחה הללו בפברואר 2019, ובאותה עת שלושה מתוך חמשת הפגמים הללו כבר תוקנו עם העדכונים המקבילים שאפל פרסמה באותה עת. לשני הבאגים שלא תוקנו, מכיוון שאפל לא ידעה עד שפרויקט אפס הראה להם, לקח שבוע לפתור עם העדכון ל- iOS 12.1.4. כלומר, בניגוד למה שמתפרסם ברוב התקשורת, לא עברו שנתיים כשהאייפון שלנו נחשף להתקפות אלה, מכיוון שאפל טפחה על החרקים כשגילתה אותם.
פרק הזמן הארוך ביותר שהבאג היה פעיל היה פחות מעשרה חודשים ("שרשרת 3"), שאר הבאגים תקפים לתקופות קצרות מזו עקב העדכונים שהשיקה אפל, כפי שניתן לראות בגרף מעל לפסקאות אלה ואשר מציג את התאריכים והגרסאות הפותרים כל אחת מה פגמים ביטחוניים.
פתרון: עדכן תמיד לגרסה האחרונה
לא נמאס לחזור עליו למרות העובדה שרבים מסרבים לקבל זאת: קיום מערכת הפעלה התומכת בכך באמצעות עדכונים תכופים וממושכים היא הדרך הטובה ביותר להבטיח את האבטחה המרבית האפשרית. חשוב שזמן התגובה יהיה מינימלי, שהעדכון הפותר את הבעיה יהיה זמין בהקדם האפשרי ושהוא יגיע לכמה שיותר מכשירים. מערכת ההפעלה הבלתי פגיעה אינה קיימת, אך עליכם לנסות להישאר קרובים ככל האפשר שתוכלו מהמטרה הבלתי מושגת הזו.