Apple iOS 8 и вопросы безопасности

Бизнес

Накануне Apple разразилась большой новостью на WWDC14, объявив о выходе новых версий обеих своих именитых операционных систем — OS X и iOS. Такие анонсы всегда поднимают много шума и становятся крупным событием, конечно, но на этот раз дело не только в новых операционных системах. Кроме них, Apple сделала пару заявлений, предполагающих потенциально крупные последствия и побочные эффекты. Некоторые из них напрямую связаны с безопасностью.

Прежде всего, поприветствуем Mac OS X Yosemite и iOS 8. Раньше эти платформы развивались более или менее независимо, но теперь, кажется, они движутся по сходящимся траекториям с все большим числом взаимопроникающих функций и приложений. Вот, скажем, Continuity, облегчающая запуск задачи на мобильном устройстве и позволяющая доделывать ее уже на Mac (писать email, например). Разумеется, эта привилегия не будет доступна владельцу Mac с телефоном на Android или обладателю iPhone с WindowsPC.

Кроме того, Apple, наконец, пристроилась в кильватер Google и Microsoft, обеспечив своему сервису iCloud полноценный набор возможностей файлообмена, аналогичный Google Drive, Microsoft OneDrive или Dropbox — iCloud Drive. Он позволяет хранить файлы любого типа и получать к ним доступ «на любом устройстве», что на самом деле не совсем правда: iCloud недоступен для пользователей Android. Кроме того, iCloud Drive, как и многие другие функции новых операционных систем, будет доступен только пользователям новых устройств, которые появятся на рынке ближайшей осенью.

Единый пароль AppleID обеспечивает доступ ко всему, что связано с учетной записью пользователя.

Фактически, это означает, что Apple собирается создать единую «яблочную» среду, чтобы привлечь больше пользователей. Подразумевается также, что все эти устройства – «маки», айфоны, айпады и айподы — будут защищены, по существу, только одним AppleID.

Эта система авторизации достаточно надежна или уж точно не хуже прочих (описание см. по ссылке). По сути, Apple предоставляет новым пользователям бесплатную электронную почту, для которой требуется, конечно, пароль.

800_1

В свою очередь, уже этот пароль подходит почти ко всем сервисам Apple: для покупок в iTunes и AppStore, для просмотра истории браузера, документов и для доступа — как только iCloudDrive войдет в строй — ко всему его содержимому тоже. Пользователям приходится вводить свои AppleID нередко: это необходимо для покупок в магазинах Apple или при обновлении приложений. Иными словами, многое зависит от этого пароля, и уже в задачу самого пользователя входит обеспечение собственной безопасности, что людям нечасто оказывается по силам.

В этом и кроется слабое место для проникновения возможных злоумышленников , тем более, что пользователи могут получить доступ к почте в iCloud через браузер на ПК с Windows, например .

Еще одним чрезвычайно интересным объявлением стал новый SDK для iOS 8, содержащий более 4000 новых API. «iOS 8 позволяет разработчикам более детально настроить пользовательские возможности с такими важными функциями расширения, как виджеты Центра уведомлений и сторонние клавиатуры; и вводит такие солидные базовые системы, как HealthKitи HomeKit. В iOS 8 также включена новая графическая технология Metal, которая максимизирует производительность чипа A7 и нового мощного языка программирования Swift». Так говорится в пресс-релизе компании Apple. В нем также рассказывается подробно о новых функциях и особенностях HealthKit (который, как предполагается, «произведет революцию в отношениях системы здравоохранения с людьми»), ориентированного на домашнюю автоматизацию HomeKit, новой игровой графической технологии Metal и Swift — нового языка программирования для создания приложений под iOS и OSX.

Бета-версия SDK доступна для участников программы разработчиков iOS и OSX на developer.apple.com.

800_2

В первую очередь, это означает новый уровень открытости iOS и ее большую доступность для разработчиков. Понятие «расширенной доступности» ( по крайней мере, в том, что предполагает большую «доступность» средств разработки) — всегда вопрос несколько спорный.

Вот как по этому поводу выразился колумнист ZDNet Стилгерриан: «Открыв в iOS связи между приложениями, в том числе связь с приложениями, которые контролируют внешние сетевые устройства, а также предоставив пользователю больше возможностей для взаимодействия на экране блокировки — то есть, когда iDevice еще заблокирован — Apple колоссально увеличивает то, что спецы по информационной безопасности называют поверхностью атаки«.

Стилгерриан (который выступает как своего рода скептик) предполагает, что новые инструменты будут «чрезмерно стимулировать» новых «внезапно вдохновившихся» разработчиков, что может привести к валу новых приложений от новичков, которые не станут сильно беспокоиться о безопасности своего софта.

Кроме того, «увеличение объема личных данных, которыми будут обмениваться новые бытовые и медицинские аппараты, сделает iOS-устройства еще более привлекательными мишенями», уверен Стилгерриан.

Данные опасения вполне оправданы, или уж, по крайней мере, последнее не лишено оснований. Appleпридется справляться с наплывом новых кое-как написанных приложений ежедневно. И вряд ли компания обрадуется колоссальной лавине свежего мобильного шлак-софта, буде таковой вообще появится.

Кроме того, Apple представила новый язык программирования Swift. Среди прочего, он был разработан, по словам Адриана Кингсли-Хьюза, с целью «покончить с целыми классами небезопасного кода. Переменные теперь всегда инициализируются перед использованием, массивы и целые проверяются на переполнение, а память управляется автоматически». До тех пор пока все это будет работать, как ожидается, определенный уровень базовой безопасности будет обеспечен. Таким образом, нет никаких оснований ожидать какого-либо резкого ослабления общей защищенности платформы Apple.

Однако, как и у каждого программного обеспечения, эта защищенность не абсолютна. Ранее в этом году уже было зарегистрировано несколько сбоев в системе безопасности Apple. Например, в феврале с выходом iOSверсии 7.0.6 пришлось поторопиться из-за патча для исправления «шокирующе упущенной» ошибки при обработке SSL-шифрования, которая сделала пользователей iPhone, iPad и Mac удобными мишенями для атак посредника (MITM).

Язык Swift от Apple, вероятно, повысит уровень безопасности кода новых приложений. Пока он работает, как планировалось.

В мае некоторое количество пользователей айфонов, айпадов и «маков» в разных странах мира стали жертвами атак вымогателей, дистанционно заблокировавших их устройства. По-видимому, некто похитил учетные данные этих пользователей, но неясно, откуда их могли увести. Apple отрицает возможность взлома iCloud в связи с этими атаками, однако всего несколькими днями ранее голландско- марокканская группа хакеров под именем » TeamDoulCi» заявила об удачном взломе защиты в системе Apple iCloud. Это могло подвигнуть злоумышленника на взлом защиты утерянных или краденых айфонов. Или же заблокировать их дистанционно.

Другими словами, у Apple, как правило, все в порядке с безопасностью. Но полной гарантии нет, зато растет интерес со стороны киберпреступников.

Что все это означает для бизнеса? Максимум бдительности и хорошая MDM-система. Наверное, если опасения скептиков оправдаются, а средний уровень безопасности новых устройств Apple действительно снизится осенью, бдительность придется удвоить.

Нет, однако, никаких оснований ждать каких-либо эпидемий вредоносных программ под iOS в ближайшее время. В ходе своего выступления на WWDC14 глава Apple Тим Кук заклеймил Google за «лидерство» Androidв плане количества мобильных вредоносных программ (доля составляет 99%). Для iOSэто вообще не является проблемой. Надеемся, что так и останется еще на какое-то время.

Но помимо вредоносных программ существуют и другие угрозы, да и нет абсолютно безопасных систем. С AppleID многое упирается в один пароль, а это значит, что если он слабый, устройство и связанные с ними сервисы не защищены. Вот и получается, что лишний раз напомнить о важности хороших паролей – не грех.