Пенсионный советник

Во всем виноват стажер: раскрыта тайна утечки Apple

Обнаружен источник «крупнейшей утечки в истории iPhone»

Elijah Nouvelage/Reuters

В утечке исходного кода Apple iOS, которую называют «самой досадной» в истории, виноват временный сотрудник компании. Пойти на преступление его уговорили друзья, которым этот код был нужен для исследования. Почему похищенные данные в конце концов оказались в интернете и чем это грозит — в материале «Газеты.Ru».

На прошлой неделе стало известно об утечке в компании Apple — на одном из веб-сервисов в общем доступе оказался исходный код iBoot, которая является ключевой программой операционной системы iOS, отвечающей за загрузку всей системы.

Реклама

Спустя несколько дней в ходе расследования был найден источник слива — им оказался стажер Apple, работавший в штаб-квартире компании в Купертино в 2016 году. Похитить код его надоумили друзья, которые занимаются так называемым «джейлбрейком», то есть взломом iPhone, открывающим доступ к файловой системе устройства.

Как объяснили злоумышленники, они не рассчитывали, что код будет выложен в интернет, а планировали использовать его для себя. К сожалению, утечки такой конфиденциальной информации избежать не удалось.

Умеешь хранить секреты?

Motherboard удалось пообщаться с двумя «вдохновителями» этой утечки, чей друг и являлся сотрудником Apple низшего звена. Они попросили портал сохранить их анонимность, так как опасаются исков по делу о нарушении авторского права.

По их сведениям, стажер Apple не ставил своей целью похитить код ради шантажа компании, и не собирался ее «подставлять». Его друзья предложили ему поделиться исходным кодом iBoot ради собственного исследования по джейлбрейку. В итоге украденные данные стали доступны группе людей в количестве пяти человек, которые намеревались сохранить утечку в тайне.

К сожалению, они не смогли проконтролировать сохранность исходного кода, и спустя год после кражи в 2017 году он оказался загружен на сервис GitHub. Причиной этому стала передача кода третьим лицам за пределами первоначальной группы.

«Я не хотел, чтобы этот код когда-нибудь увидел свет. Не из жадности, а из страха юридических последствий.

В сообществе фанатов Apple полно любопытных детишек и подростков. Я знал, что однажды один из них будет достаточно глупым, чтобы опубликовать этот код на GitHub», — сообщил один из источников, имеющих доступ к похищенному коду.

Он добавил, что несмотря на «разрушительные» последствия утечки, намерения группы заговорщиков не носили злоумышленный характер. Однако теперь появились опасения, что исходный код может быть использован и во вред — например, для создания эксплойтов и злонамеренного джейлбрейка iPhone.

Кроме того, существует угроза того, что данные исходного кода будут использованы хакерами для эмуляции iOS на устройствах, не принадлежащих Apple.

Похищенный исходный код iBoot принадлежал iOS 9, релиз которой состоялся летом 2015 года, но его фрагменты наверняка присутствуют и в последней версии операционной системы — iOS 11.

Как сообщил Motherboard автор нескольких книг об iOS и эксперт по продуктам Apple, купертиновцы особенно ревностно охраняют код iBoot и предлагают самое большое вознаграждение в рамках поиска уязвимостей именно за эту программу — около $200 тыс.

«Это крупнейшая утечка в истории iPhone», — заявил Левин.

Apple направила официальное письмо с требованием удалить код с GitHub в рамках исполнения американского Закона об авторском праве в цифровую эпоху, таким образом косвенно подтвердив его подлинность.

Компания никак не прокомментировала сам факт утечки, но пояснила в заявлении, что безопасность продуктов Apple не связана с сохранностью исходного кода. «В наших продуктах присутствует многоуровневая защита на уровне и «железа», и софта», — сообщил официальный представитель компании.

Но, несмотря на отсутствие прямой угрозы для владельцев iPhone, эта утечка стала серьезным репутационным ударом для Apple, которая гордится своей почти феноменальной способностью держать в секрете информацию о своих продуктах.

Не первый и не последний случай

К сожалению, в современном мире ничто не может находиться в стопроцентной безопасности, если дело заходит о цифровой информации. Не безгрешна и Apple, которая прежде сталкивалась с другими утечками.

Как правило, инсайдеры и хакеры активизируются накануне официальной презентации компании в сентябре, на которой демонстрируются новые «яблочные» продукты. В августе 2017 года данные об iPhone 8 извлекли из прошивки к «умной» колонке HomePod, залитой на общедоступный сервер.

Таким образом, виновников слива оказался один из сотрудников Apple, перепутавший уровни доступа.

Через месяц уже накануне официального мероприятия случилась еще одна утечка — подробности презентации были скрыты в прошивке новой версии операционной системы iOS 11, так что и в этом случае источником оказался инсайдер. Несмотря на то, что его намерения вряд ли были умышленными, взлом явно расстроил генерального директора Apple Тима Кука, который очень строго следит за конфиденциальностью внутри своей компании.