Uma semana após o lançamento do primeiro beta da próxima versão do sistema operacional móvel da Apple, o MIT descobriu que aqueles em Cupertino haviam deixado o kernel iOS 10 não criptografado. A partir daquele momento, especialistas e usuários começaram a especular tentando adivinhar o motivo pelo qual Tim Cook e empresa haviam tomado essa decisão, chegando a avaliar a possibilidade de alguém ter estragado tudo, mas isso parecia improvável porque seria um caso muito sério erro.
Ontem, quarta-feira, a Apple falou e deu os motivos pelos quais deixou o kernel do iOS 10 sem criptografia. O principal motivo é otimizar o desempenho do sistema. E é que o iOS 9 é criptografado da cabeça aos pés e isso faz o sistema operacional sofrer. Com base nos comentários e em minha própria experiência, o iOS 1 beta 10 se move mais facilmente do que o iOS 9.3.2, então parece que o que eles estão tentando fazer ao não criptografar o kernel do iOS 10 está funcionando.
O kernel do iOS 10 não contém informações confidenciais
O segundo motivo, que é uma extensão do primeiro, é que o kernel do iOS 10 não contém informações confidenciais, por isso não precisa ser criptografado.
O cache do kernel não contém nenhuma informação do usuário e, ao remover a criptografia, podemos otimizar o desempenho do sistema operacional sem comprometer a segurança.
Até agora, a Apple criptografou o kernel para proteger seu código de testes indesejados ou engenharia reversa, sendo que a última é mais provável de ser feita pela aplicação da lei. O pequeno risco, que a Apple diz não existir, é muito menor do que o benefício potencial.
Como afirmam os especialistas em segurança, a última mudança da Apple permitirá que os pesquisadores de segurança mergulhem legitimamente no coração do iOS pela primeira vez. A parte positiva é que o chapéu branco ou chapéu branco eles serão capazes de encontrar mais vulnerabilidades, informe a Apple e os de Cupertino saberão das falhas mais cedo. Olhando em perspectiva, mesmo que isso signifique que "os bandidos" também possam encontrar essas falhas, os usuários mal-intencionados provavelmente não terão tempo para explorar uma vulnerabilidade que os "mocinhos" também descobrirão, talvez até antes deles.
Além disso, isso também vai prejudicar o mercado de Chapéu cinza, Nem bons nem maus hackers acabam vendendo vulnerabilidades para agências governamentais, exatamente o que aconteceu no caso do iPhone 5c do atirador de San Bernardino. Se o kernel daquele iPhone não tivesse sido criptografado, é provável que o exploit que os hackers usaram também tivesse sido encontrado pelos Gray Hats e a Apple o teria corrigido antes de usá-lo.
Como você pode ver, estou parcialmente tentando encontrar a parte positiva disso. Se os especialistas em segurança e a Apple dizem que vale a pena, eles devem estar certos. Além disso, esta semana li um comentário em uma mídia que lembrou que Ubuntu também não tem criptografia de kernel e é um dos sistemas operacionais mais seguros do mundo. Como você vê isso?