تکنولوژی

مجادله میان اپل و گوگل بر سر نقص امنیتی آیفون

چند روز پیش، اپل در پاسخ به پرده‌برداری گوگل از یک نقص امنیتی بزرگ آیفون، طی بیانیه‌ای رقیب خود را به ایجاد برداشت‌های کاذب متهم کرد. اما اپل کار زیادی را برای پاک کردن این برداشت‌های کاذب انجام نداده است و همان‌طور که در ادامه خواهیم دید؛ به نظر می‌رسد که برخی از اظهارات این شرکت بی‌اساس باشند.

ابتدا، در مورد آنچه که اپل تأیید کرده است صحبت خواهیم کرد. هنگامی که گوگل اطلاعات مفصلی درباره سوءاستفاده‌ها از iOS را منتشر می‌کرد، آشکارا نمی‌گفت که چرا آن‌ها ایجاد شده‌اند یا اینکه چه کسی را مورد هدف قرار داده‌اند. گوگل گزارش داد که این سوء استفاده‌ها، بخشی از یک حمله گسترده با پشتیبانی دولت بوده که هدف از آن، حمله به اقلیت اویغورها در چین بوده است (گفته می‌شود که مهاجمان دستگاه‌های اندرویدی و ویندوزی را نیز مورد هدف قرار داده‌اند). به‌طور گسترده‌ای گزارش شده است که چین در حال آزار اقلیت اویغورها با توسل به شکنجه، محکومیت و نظارت بیش‌ازحد است. چند روز پیش، خبرگزاری‌های رویترز و CNN گزارش دادند که چین در تلاش است تا شبکه‌های مخابراتی را جهت ردیابی اویغورها در سراسر آسیا، هک نماید. بنابراین زمینه‌های بالقوه زیادی با توجه به منبع و هدف‌های احتمالی مرتبط با iOS وجود دارد؛ مانند موردی که توسط شرکت گوگل فاش شده است.

اپل تأیید کرد که سوء‌استفاده از iOS در واقع مربوط به جامعه اویغورها است. اپل می‌گوید که این حملات کمتر از ده وب‌سایت مربوط به جامعه اویغورها را تحت تأثیر قرار داده‌اند. اما توجه اپل به این حادثه سایبری و پیامدهای احتمالی آن، به دلیل واکنش به پست وبلاگ گوگل و همچنین پوشش رسانه‌ای متعاقب، در حداقل قرار دارد.

به اعتقاد این شرکت، اپل هدف قرار دادن جامعه اویغور‌ها را تأیید و افشاء کرده، کاری که گوگل آن را انجام نداده است. اما بیانیه اپل به جای تمرکز بر آزار و اذیت مداوم یک اقلیت مذهبی در کشور چین؛ که یکی از بزرگترین بازارهای اپل نیز هست، بیشتر به شکست‌های ملموس گوگل در این کشور و همچنین جنگ تجاری مداوم  میان آمریکا و چین که مستقیماً بر محصولات این شرکت تأثیرگذار است، توجه دارد.

چندین بار، اپل چیزی را که گوگل گفته است، تحویل گرفته و سپس آن را نادیده انگاشته و یا به حاشیه رانده است.

اپل:

اول اینکه، این یک حمله پیشرفته و بسیار متمرکز بوده است، نه یک بهره‌برداری گسترده از آیفون‌ها. این حمله بر کمتر از ده وب‌سایت متمرکز شده که این وب‌سایت‌ها غالباً به محتوای مربوط به جامعه اویغورها (نژادی ساکن در چین) توجه دارند.

گوگل:

در اوایل سال جاری، گروه تحلیل تهدید (TAG)، مجموعه کوچکی از وب‌سایت‌های هک شده را کشف کرد. سایت‌های هک شده با استفاده از تکنیک watering hole (نوعی روش هک) گوشی‌های آیفون کاربران را مورد حمله قرار می‌دادند.

در اینجا اپل ادعای اصلی گوگل را تکرار می‌کند، اما با اتصال آن به خطی در بیانیه گوگل، که در مورد حمله گسترده بحث می‌کند، بحث را منحرف می‌سازد. افراد منطقی ممکن است درباره معانی کلمه «حمله گسترده» اختلاف‌نظر داشته باشند، این کلمه می‌تواند به معنای «یک گروه» و یا «همه‌باهم» باشد. اما مطمئناً گوگل اطلاعات مربوط به محور این حملات را از بین نبرده است.

اپل:

بیانیه گوگل، شش ماه پس از عرضه بهینه‌ساز  iOS، منتشر شد. تصور غلط سوءاستفاده گسترده از کاربران جهت نظارت بر فعالیت‌های خصوصی آن‌ها، باعث ایجاد نگرانی در بین همه کاربران آیفون شده است.

گوگل:

کاربران واقعی بر اساس درک عمومی از امنیت این دستگاه‌ها، اقدام به تصمیم‌گیری در رابطه با ریسک این گوشی‌ها می‌نمایند. در واقع، اگر مورد هدف قرار بگیرید، تمهیدات امنیتی هرگز نمی‌تواند خطر حمله را از بین  ببرد. مورد هدف قرار گرفتن، ممکن است به معنای متولد شدن در یک منطقه جغرافیایی یا بخشی از یک گروه قومی خاص بودن باشد. کاری که کاربران می‌توانند انجام دهند این است که از این واقعیت آگاه باشند که هک گسترده هنوز هم وجود دارد و بر این اساس، هنوز می‌تواند ایجاد خطر نماید. کاربران باید توجه نمایند که استفاده از دستگاه‌های تلفن همراه به عنوان یک جزء جدایی‌ناپذیر از زندگی مدرن، باعث می‌شود تا در صورت به خطر افتادن آن، تمامی اطلاعات کاربر در یک پایگاه داده بارگذاری شود و سپس از آن‌ اطلاعات، علیه خود کاربر استفاده شود.

ما نمی‌توانیم به این موضوع بپردازیم که آیا این سوء استفاده‌ها، ۱ میلیون دلار، ۲ میلیون دلار یا ۲۰ میلیون دلار هزینه دارند یا خیر. در عوض، حدس می‌زنیم که تمامی این برچسب‌های قیمتی، با توجه به قابلیت‌های حملات سایبری در رابطه با زیرنظرگرفتن رفتار جمعیت، زیاد به نظر نمی‌رسند.

اپل در اینجا نقل‌قول‌های گوگل را به کلی از گردونه خارج می‌سازد. گوگل در مورد درک خطر و آسیب‌پذیری ذاتی پردازش‌های رایانه‌ای صحبت می‌کند، که واقعاً جای بحث کردن نیز ندارد. اهالی مانتین ویو همچنین در مورد هدف قرار دادن گسترده اعضای یک اقلیت خاص بحث می‌نماید. هما‌‌ن‌طور که می‌دانیم، اکنون یک اقلیت مذهبی به طور جدی در کشور چین، مورد آزار و اذیت قرار گرفته است. عجیب است که اپل این تفاوت‌ها را نادیده گرفته و  نگرانی‌های گوگل را به تمامی کاربران آیفون بسط می‌دهد.

اپل:

دوم اینکه، شواهد نشان می‌دهد که این حملات سایبری فقط یک دوره کوتاه تقریباً دو ماهه به طول انجامیده‌اند، نه دو سال؛ همان‌طور که گوگل بیان می‌کند.

گوگل:

تیم TAG اقدام به جمع‌آوری پنج زنجیره بهره‌برداری جداگانه، کامل و منحصربه‌فرد از حملات مرتبط با گوشی‌های آیفون نموده، که تقریباً نسخه‌های iOS 10 تا جدیدترین نسخه یعنی iOS 12 را دربر می‌گیرد. این نشان می‌دهد که گروهی در تلاش هستند تا کاربران آیفون را در جوامع موردنظر هک نمایند. باید توجه داشت که عرضه این طیف از نسخه‌های سیستم‌عامل iOS، حدود دوسال طول کشیده است.

تجزیه‌وتحلیل اولیه نشان داد که حداقل یکی از زنجیره‌های حمله در زمان کشف ما، هنوز مورد استفاده قرار نگرفته بود. ما این موارد را به همراه مهلتی ۷ روزه، در تاریخ ۱۲ بهمن ۱۳۹۷ (۱ فوریه ۲۰۱۹) به اپل گزارش دادیم که این اقدام منجر به انتشار نسخه iOS 12. 1. 4 در تاریخ ۱۸ بهمن ۱۳۹۷ (۷ فوریه ۲۰۱۹) شد. ما همچنین جزئیات کاملی را نیز با شرکت اپل در میان گذاشتیم که در همین تاریخ به صورت عمومی منتشر شدند.

از کجا معلوم است که گوگل درباره حملات دوساله بحث می‌کند؟ گوگل به صراحت اعلام می‌دارد که شواهد آن‌ها حاکی از تلاش پایدار گروهی از هکرها در طی این دو سال است، نه اینکه کاربران آیفون در تمام این مدت به خطر افتاده‌ باشند و این شرکت همچنین به اشتراک اطلاعات مرتبط با حفره‌های امنیتی با شرکت اپل نیز اشاره دارد. تمایزات سخنان اپل در این جا نیز مشهود است.

گوگل:

هیچ تبعیضی وجود نداشت. هر بازدیدکننده‌ای که از آن وب‌سایت‌ها بازدید می‌کرد، سرورهای هک سعی می‌کردند تا به دستگاه کاربر موردنظر حمله نمایند و در صورت موفق شدن، یک ابزار نظارتی را بر روی آن دستگاه نصب می‌نمودند. ما تخمین می‌زنیم که این وب‌سایت‌ها در هفته، هزاران بازدیدکننده داشته‌اند.

اپل:

صرف‌نظر از مقیاس حمله، ما امنیت کلیه کاربران خود را بسیار جدی می‌گیریم.

اپل در اینجا به ما ایده لازم در مورد مقیاس واقعی این حمله را نداده است. حتی به برآورد گوگل که می‌گوید که ممکن است هزاران بازدیدکننده در هفته مورد حمله قرار گرفته باشند نیز واکنش نشان نمی‌دهد. حتی اگر این سخنان اپل را که؛ این حملات سایبری فقط دو ماه عملیاتی بوده‌اند را نیز در نظر بگیریم، بازهم به‌طور بالقوه، ده‌ها هزار (یا بیشتر) قربانی به صورت ناخواسته عضو یک جمعیت آسیب‌پذیر هستند که در حال حاضر مورد هدف یک دولت سرکوبگر قرار گرفته‌اند. جمله «ما امنیت کلیه کاربران خود را بسیار جدی می‌گیریم» امنیت کاربران قربانی را مورد هدف قرار می‌دهد نه سخنان محققان گوگل که این سوءاستفاده‌ها را کشف نموده‌اند.

اخبار تکنولوژی

برچسب ها

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا