غوغل: ما تقوم به آبل “ممارسات مضللة”
انتقد فريق #غوغل الأمني المسمى Project Zero عبر تدوينة جديدة طريقة شركة #آبل في معالجة الأخطاء والثغرات الأمنية، حيث قال إن آبل تعمد إلى تغيير ملاحظاتها الأمنية بشكل سري بعد نشرها، وهو ما أطلق عليه فريق غوغل الأمني تسمية “ممارسات مضللة”، بالإضافة إلى حديثه عن الخطر المحتمل بالنسبة لمستخدمي نظام آبل التشغيلي MacOS، وأشار الفريق إلى أن شركة آبل تعمد إلى إصلاح مشكلات وثغرات نظامي التشغيل iOS و MacOS بدون إعلام المستخدمين.
وكانت شركة غوغل قد أنشأت فريق Project Zero لتحسين أمان #الإنترنت، بما في ذلك منتجاتها ومنتجات الجهات الخارجية، لذلك فإن حقيقة أن أبحاث الفريق قد عثرت على أخطاء في متصفح الويب سفاري Safari من آبل ليست مفاجأة.
ويناقش جزء كبير من التدوينة استخدام غوغل لأداة متاحة للجمهور للعثور على أخطاء قابلة للاستغلال ضمن متصفح سفاري Safari. وأوضح فريق Project Zero أنه استخدم نفس الأداة منذ عام المطورة من قبل إيفان فراتريك Ivan Fratric لتحديد 17 ثغرة، وأنه وجد هذا العام 9 ثغرات جديدة، وقامت آبل بإصلاح هذه الثغرات جميعًا بعد إخبارها وقبل نشر التقرير.
وقال الباحثون إن معظم الثغرات الأخيرة كانت في قاعدة بيانات Apple WebKit، وأن تلك الثغرات تواجدت لمدة ما بين ستة أشهر وسنة قبل أن تتم معالجتها، وكانت لتستمر لوقت أطول إذا لم تكن غوغل قد أبلغت عنها، مما يعطي المهاجمين قدرة على إلحاق ضرر أكبر وأكثر تأثيرًا، واقترح فريق Project Zero أنه إذا استخدمت آبل نفس أداة اختبار الأخطاء العامة المسماة Domato، فمن الممكن أن يتم اكتشاف الأخطاء قبل إطلاقها بدلاً من ترك المستخدمين عرضة للخطر.
وأعربت غوغل عبر فريقها Project Zero عن القلق من الطريقة التي عالجت بها آبل المشكلات مع المستخدمين، حيث أصلحت آبل في الشهر الماضي الثغرات الموجودة في نظامي التشغيل iOS 12 و TVOS 12 ومتصفح سفاري Safari 12، لكنها لم توضح تلك الإصلاحات ضمن ملاحظاتها الأمنية المنشورة حينها، وجاء التحديث بعد ثلاثة أشهر تقريبًا من الإبلاغ عن المشكلات.
ووفقًا للتدوينة فإن ملاحظات آبل لم تذكر الإصلاحات في البداية، وتم الكشف عنها بعد أسبوع من النشر الأولي عندما تم إصدار MacOS Mojave، وغيرت آبل بشكل سري بتاريخ 17 سبتمبر/أيلول 2018 ملاحظاتها السابقة بعد أن أصدرت إصلاحات لنفس القضايا التي تؤثر على macOS Mojave 10.14، ويخمن فريق Project Zero امتلاك آبل لسبب من أجل عدم كشفها عن نقاط الضعف التي لم يتم إصلاحها بعد في نظام MacOS.
وقال فريق Project Zero: “إن هذه الممارسات مضللة لأن العملاء المهتمين بتقارير الأمان من آبل سوف يقرأونها على الأرجح مرة واحدة فقط عندما يتم إصدارها لأول مرة ويكون الانطباع الذي سيحصلون عليه هو أن تحديثات المنتج تعمل على إصلاح عدد نقاط ضعف أقل وأخف حدة مما هو في الواقع”.
وأضاف الفريق أن ممارساتها المتعلقة بعدم نشر إصلاحات أنظمة تشغيل الأجهزة المحمولة أو أجهزة سطح المكتب في نفس الوقت يمكن أن يضع عملاء سطح المكتب في خطر غير ضروري، وذلك لأن المهاجمين يمكنهم استخدام الهندسة العكسية من أجل تحليل تحديثات نظامها للأجهزة المحمولة وتطوير عمليات استغلال ضد نظام تشغيلها لأجهزة حواسيب سطح المكتب، ولن يكون لدى عملاء حواسيب سطح المكتب طريقة لتحديث وحماية أنفسهم.