З 2007 року в Wi-Fi модулі всіх операційних систем iPhone, а пізніше і всіх його братів по крові - iPod touch і iPad, - ця пастка чекала свого часу. І в червні 2021 року ця година настала. У пастку потрапив данський експерт з інформаційної безпеки Карл Шоу, і 18 червня він написав про це у твіттері. Порада «не намагатися повторити це на своєму iPhone» призвела до очікуваних наслідків. Один випадок на мільярд перетворився на кілька сотень таких випадків. В опублікованій Apple інформації про п'яту бета-версію iOS/iPadOS 14.7, що вийшла днями, не було ні слова про ліквідацію цієї пастки. Але, тим не менш, незабаром стало відомо що в Apple звернули на неї увагу.
У п'ятій бета-версії iOS/iPadOS 14.7 для розробників з'явилася заплатка, що усуває цю проблему. Нехороші SSID (символьні назви точок доступу Wi-Fi), за словами тих хто ризикнув і перевірив викриті комбінації символів, більше не вбивають Wi-Fi. І знайти нові вбивчі комбінації, наскільки мені відомо, поки нікому не вдалося. Те що Apple не поспішає оголошувати про свою перемогу, трохи турбує.
Про цю біду дізналися мільйони читачів комп'ютерних ЗМІ, і все керівництво Apple. Як і про те, що у Android до вбивають iOS SSID імунітет. Чи з'явилася ця проблема в найперших iPhone, чи вона з'явилася після - я не знаю. Зате я знаю що в iOS/iPadOS 14.7 і 15 цієї проблеми не буде. У п'ятій бета-версії iOS/iPadOS 14.7 для всіх цієї латки, мабуть, немає. І краще, поки офіційно не оголошено про вирішення проблеми, самим долю не відчувати.
Як Wi-Fi вбиває iPhone
Очевидно, Карл Шоу должен был поступить иначе. Як експерт з інформаційної безпеки, він не міг про це не знати. Якби не його твіт з описом проблеми і з рецептом її отримання, про неї не дізналися б мільйони читачів комп'ютерних ЗМІ. І, з більш-менш серйозними наслідками для своїх iPhone і iPad, багато з них тупо замінили SSID своїх роутерів на небезпечні комбінації. Можливо, крім очевидних проявів цього неподобства, з ним можуть бути пов'язані і вразливості. Не факт, але якщо щось можливо в принципі, чому б це щось не припустити?
У мисливців за вразливостями своя етика. Вони мають право порушувати деякі закони в низці країн і штатів США. Будь-яку інформацію про виявлену вразливість слід зберігати в таємниці. Вразливість - це лазівка, їй можуть скористатися зловмисники щоб дістатися до чутливих даних користувачів. Інформацію про виявлену вразливість слід повідомити компанії-розробнику. І попередити її що якщо до названого терміну ніяких заходів щодо перекриття лазівки не буде прийнято, інформація буде опублікована. Фактично це шантаж, але мисливці за нього не понесуть покарання. При дотриманні пропонованих законом правил.
Вразливості в пристроях Apple
Ще зовсім недавно компанії-розробники не витрачали на вивчення попереджень про вразливості багато часу. Їх не перевіряли. Часу при розробці завжди не вистачає, особливо часу кваліфікованих фахівців. Терміни, баги, проблеми в коді - ну не до доброзичливців. Тим більше що практично у всіх компаніях-розробниках ПЗ заборонялося витрачати час на такі повідомлення. Більша частина цих вразливостей ніколи не спрацьовувала, і не була використана на шкоду. Але тих випадків у яких уразливості спрацювали, вистачило з лишком. Зміни до законів були внесені. Вони працюють.
Часу фахівців як і раніше не вистачає, але в Apple, наприклад, попередженнями тепер займається цілий підрозділ. Інформація про те що воно є, пару разів з'явилася в мережі. Його співробітників викрили в недобросовісності і тяганині. Тім Кук публічно вибачився за це перед мисливцями за вразливостями яких не почули. Винні були покарані. Звільнено або переведено на менш значні посади. Повідомлення про це викликало захват у недружелюбно налаштованих до Apple ЗМІ. Та й мисливці за вразливостями до діяльності Apple в цій області ставляться скептично. Не тільки до Apple, до речі. Про випадки з іншими компаніями просто не пишуть. Посилення заходів щодо забезпечення безпеки приживаються насилу завжди і скрізь.
Чи це останній у iOS?
Природно, ні. Не останній. У міркуваннях про Apple яка не цікавиться бідами власних операційних систем, звично лаяли заходи компанії щодо забезпечення якості її ПЗ. Операційних систем, додатків, утиліт - ніби їхня якість мало того що жахлива, вона падає. Серйозні проблеми з якістю дійсно були, але останнім часом ситуацію вдалося взяти під контроль.
В Apple розроблена своя система забезпечення якості, це типовий продукт компанії - хоч і не для продажу. Чи найкраща ця система контролю якості у світі невідома. Система секретна. Але без багів ми не залишимося. Якість системи забезпечення якості визначають не баги, а те як вона на них реагує. Схоже, тьху-тьху-тьху щоб не наврочити, після довгих проб і помилок у Apple і в цій області щось починає виходити.