Der Forscher von Project Zero hebt hartnäckige iOS-Fehler als ein Beispiel dafür hervor, warum Apple und der Rest der Industrie einen neuen Ansatz zur Sicherung von Systemen finden muss.
LAS VEGAS - Der produktive Google-Fehlersucher Ian Beer hat Apple am Mittwoch in die Mangel genommen und den iPhone-Hersteller aufgefordert, seine Kultur in Sachen iOS-Sicherheit zu ändern. Er sagte, das Unternehmen leide unter dem allzu häufigen Leiden, einen iOS-Fehler zu patchen, aber nicht die systemischen Wurzeln zu beheben, die zu der Verwundbarkeit beitragen.
Seit 2016 hat das Teammitglied von Project Zero nach eigenen Angaben über 30 iOS-Fehler gefunden. In seiner Black-Hat-Sitzung "Eine kurze Geschichte der Schadensbegrenzung: The Path to EL1 in iOS 11" besprach er den "async_wake"-Exploit für iOS 11.1.2, den er im Dezember veröffentlicht hat, sowie fast ein halbes Dutzend weiterer Fehler, für deren Behebung Apple seiner Meinung nach die Füße gezogen hat.
Beer sagte, er gebe nicht einzelnen Sicherheitsforschern die Schuld. Stattdessen habe er sich seine Kritik an Organisationen mit Sicherheitsvorsprüngen, die einen akademischen Hintergrund haben, gegenüber einem Exploit-Hintergrund aufgespart.
"Unbestreitbar haben diese Leute wirklich starke ingenieurwissenschaftliche Sicherheitskompetenzen. Aber sie haben keinen Ausbeutungshintergrund... Ihr Schwerpunkt liegt auf dem Design des Systems und nicht auf der Ausbeutung", sagte er. "Bitte, wir müssen aufhören, nur Fehler zu beseitigen, und aus ihnen lernen und danach handeln."
Beer sagte, jeder Fehler müsse eine Lektion sein, in der ein Sicherheitsvorgesetzter fragen müsse: "Warum ist dieser Fehler hier? Wie wird er verwendet? Wie konnten wir sie früher übersehen? Welche Prozessprobleme müssen angegangen werden, damit wir [den Fehler] früher finden können? Wer hatte Zugang zu diesem Code und hat ihn überprüft und warum, aus welchem Grund auch immer, hat er ihn nicht gemeldet?
Und in einem provozierenden Aufruf an Apples CEO Tim Cook forderte Beer ihn direkt auf, 2,5 Millionen Dollar an Amnesty International zu spenden - ungefähr die Höhe der Einnahmen aus der Bug-Kopfgeldzahlung für Beers über 30 entdeckte iOS-Schwachstellen.
"Vor zwei Jahren kündigte Apple auf dieser Bühne ein Bug-Bounty-Programm an... Apple sagte, es begrüße es, wenn sich Leute dem Programm anschließen," sagte Beer. Ein Teil von Apples Vorschlag an die gesamte Forschungsgemeinschaft war, dass alle Fehler ernst genommen werden und Apple Belohnungen für Kopfgeldjäger außerhalb des Programms in Erwägung ziehen würde, um die Plattform zu sichern. Apple sagte, dass es anstelle von Kopfgeldzahlungen eine Spende an eine Wohltätigkeitsorganisation nach Wahl des Forschers in Betracht ziehen würde.
Beer forderte Cook auf, alle Kopfgeldbelohnungen zu spenden, die Apple möglicherweise mit Beer an Amnesty International zu teilen bereit wäre.
Beer hob die Wohltätigkeitsorganisation wegen eines kürzlichen Angriffs gegen sie hervor. Anfang dieses Monats veröffentlichte Amnesty International einen Bericht, in dem behauptet wird, dass sie von einem Gegner aus einem Nationalstaat angegriffen wurde, der die mobile Cyberwaffe Pegasus einsetzte, die von der in Israel ansässigen Firma NSO Group verkauft wurde. Beer bemerkte, dass die von den Gegnern gesendeten Nachrichten anscheinend iMessages waren.
Im Jahr 2016 fanden Citizen Lab und Lookout heraus, dass Pegasus dazu benutzt wurde, die Kontrolle über Apple-Geräte zu übernehmen, indem drei Zero-Day-iOS-Schwachstellen, die zusammen als Trident bezeichnet werden, genutzt wurden. Amnesty berichtete, dass sowohl Android- als auch iOS-Telefone bei den Angriffen ins Visier genommen wurden.
Beer schlug vor, dass Apple das iOS besser sperren müsse, da APT-Opfer und ähnliche Personen zunehmend die Nutzer von iPhones seien. Er zitierte einen weiteren berichteten Vorfall, bei dem die Befürworter einer Anti-Adipositas-Steuer auf Soda in Mexiko Ziele eines Angriffs waren, bei dem iPhone-Benutzer mit Textnachrichten, die die Pegasus-Spyware verknüpften, herausgegriffen wurden.
"Gezielte Ausbeutung ist weiter verbreitet, als man denkt", sagte er. Er bemerkte, dass Pegasus von Angriffen auf die Nationalstaaten zu einem scheinbar zuckerhaltigen Erfrischungsgetränke-Ring übergegangen sei.
Beer nannte jeden Sicherheitsansatz, der Fehlerbehebungen als Maßstab für Sicherheit verwendet, mangelhaft. Er nannte es eine "Trostdecke", die nur eine Illusion von Fortschritt biete. Die Zeit der isolierten Sicherheitsfehlerbehebungen sei vorbei, sagte er - und das Ziel sei es, die Ursachen zu verstehen und gegen diese vorzugehen.