Apple wkrótce dołączy do klubu „miesiąca błędów”.
styczeń 1 stycznia dwóch badaczy bezpieczeństwa zacznie publikować szczegółowe informacje na temat zalewu luk w zabezpieczeniach produktów Apple. Ich plan polega na ujawnianiu jednego błędu dziennie przez cały miesiąc, powiedzieli we wtorek.
Projekt jest uruchamiany przez niezależnego badacza bezpieczeństwa, Kevina Finisterre'a, oraz hakera znanego jako LMH, który odmówił ujawnienia swojej tożsamości.
Niektóre z błędów „mogą stanowić znaczne ryzyko”, powiedział LMH w wywiadzie e-mailowym. „Inne mają mniejszy wpływ na bezpieczeństwo. Staramy się opracować działające exploity dla każdego znalezionego problemu”.
Obaj hakerzy planują ujawnić błędy w jądrze Mac OS X, a także w oprogramowaniu takim jak Safari, iTunes, iPhoto i QuickTime, powiedział LMH. Dodał, że niektóre błędy wpłyną również na wersje oprogramowania Apple zaprojektowane do działania w systemie operacyjnym Microsoft Windows.
LMH był jednym z mózgów niedawnego projektu Month of Kernel Bugs, który ujawnił wady w rdzeniu kilku różnych systemów operacyjnych. Został zainspirowany wcześniejszą inicjatywą, zwaną Miesiącem Błędów Przeglądarki, która rozpoczęła się w lipcu.
Ten najnowszy projekt Apple jest uruchamiany w celu podniesienia świadomości na temat luk w zabezpieczeniach produktów Apple i „zdławienia samozadowolenia”, powiedział Finisterre za pośrednictwem poczty elektronicznej.
Chociaż Macintosh jest ogólnie uważany za bezpieczniejszy niż komputer z systemem Windows, wiele zabezpieczeń badacze uważają, że tej reputacji nie można przypisać żadnym lepszym praktykom bezpieczeństwa ze strony firmy Apple. Mówią, że osoby atakujące zostały odstraszone przez bezpieczniejsze jądro Unix systemu Mac OS X i mniej rozpowszechnione zastosowanie produktu.
Entuzjaści Apple i badacze bezpieczeństwa spierają się od sierpnia ubiegłego roku, kiedy David Maynor i Jon Ellch twierdzili, że odkryli lukę, która miała wpływ na sterowniki urządzeń bezprzewodowych Apple. Odtworzyli wideo na konferencji Black Hat pokazujące, w jaki sposób ta luka może zostać wykorzystana do uruchomienia nieautoryzowanego kodu na MacBooku. Jednak ich twierdzenia zostały odrzucone, ponieważ w demonstracji użyto karty bezprzewodowej innej firmy niż karty taki, który jest dostarczany z MacBookiem, a ponieważ dwaj hakerzy nadal nie opublikowali kodu użytego w ich atak.
LMH powiedział, że negatywna reakcja społeczności Apple na twierdzenia Maynora i Ellcha odegrała rolę w decyzji o uruchomieniu Miesiąca błędów Apple.
„Byłem zszokowany reakcją niektórych tak zwanych„ fanów Apple ”- powiedział. „Nie rozumiem, dlaczego niektórzy ludzie źle reagują na ujawnienie problemów w wybranym przez nich systemie. … To pomaga poprawić jego bezpieczeństwo”.
Podobna próba ujawnienia błędów w oprogramowaniu Oracle musiała zostać porzucona przed jego uruchomieniem w zeszłym miesiącu. Człowiek odpowiedzialny za Tydzień błędów Oracle, Cesar Cerrudo z Argeniss Information Security, powiedział, że wyciągnął plug, gdy stało się jasne, że projekt może zaszkodzić relacji między jednym z jego klientów i Wyrocznia. „Ten klient zdał sobie sprawę, że mógł mieć poważne problemy biznesowe, więc zmienił zdanie i poprosił o anulowanie” – powiedział we wtorek za pośrednictwem wiadomości błyskawicznej.
LMH powiedział, że nie spodziewa się żadnych problemów prawnych ze strony Apple. „Ciągle rozmawiam z facetem z zespołu bezpieczeństwa Apple i jestem gotów pomóc w razie potrzeby” – powiedział. „Jestem daleko od jakiejkolwiek nielegalnej działalności”.
Apple ze swojej strony nie wydawało się być zdenerwowane projektem. „Zawsze czekamy na opinie na temat tego, jak poprawić bezpieczeństwo na komputerze Mac” — powiedział Anuj Nayar, rzecznik Apple.