Apple знаеше, че потребителите на AirDrop могат да бъдат идентифицирани и проследявани още през 2019 г., твърдят изследователи

Бележка на редактора: Регистрирайте се за бюлетина Meanwhile in China на CNN, който изследва какво би трябвало да знаете за възхода на страната и по какъв начин той въздейства върху света.

Изследователите по сигурността предизвестиха Apple още през 2019 година за уязвимости в неговата функционалност за безжично шерване AirDrop, които китайските управляващи настояват, че неотдавна са употребявали, с цел да проследят потребителите на функционалността, споделиха откривателите пред CNN, при положение, който съгласно специалистите има съществени последствия за световната дискретност.

Действията на китайското държавно управление, ориентирани към инструмент, който клиентите на Apple по целия свят употребяват за шерване на фотоси и документи – и очевидното безучастие на Apple за премахване на минусите – съживяват дългогодишната угриженост на американските законодатели и бранители на поверителността по отношение на връзките на Apple с Китай и по отношение на способността на властническите режими да изкривяват американските софтуерни артикули за личните си цели.

AirDrop разрешава на потребителите на Apple, които са близо един до различен, да споделят файлове, употребявайки патентована композиция от Bluetooth и друга безжична връзка, без да се постанова да се свързват с интернет. Функцията за шерване е употребена от продемократични деятели в Хонконг и китайското държавно управление в отговор наложи строги ограничения против функционалността.

Китайска софтуерна компания, основаната в Пекин Wangshendongjian Technology, съумя да компрометира AirDrop, с цел да разпознава консуматори в метрото в Пекин, упрекнати в шерване на „ несъответствуваща информация “, оповестиха правосъдните управляващи в Пекин тази седмица.

Въпреки че китайските управляващи показаха експлойта като ефикасна техника за правоприлагане, бранителите на свободата в интернет приканват Apple да се заеме с казуса бързо и обществено.

„ Отговорът на Apple на тази обстановка е от решаващо значение “, сподели Бенджамин Исмаил, шеф на акцията и застъпничеството на Greatfire.org, група, която следи интернет цензурата в Китай. „ Те би трябвало или да опровергаят изказванието, или да го потвърдят и неотложно да работят по обезпечаването на AirDrop против сходни уязвимости. Наложително е Apple да бъде транспарантен по отношение на отговора си на тези развития.

Китайското изказване разтревожи висши американски законодатели. Сенаторът от Флорида Марко Рубио, водещият републиканец в комисията по разузнаване на Сената, прикани Apple да работи бързо.

„ Всеки, който употребява iPhone, би трябвало да се тревожи за сигурността на AirDrop функционалността на Apple “, сподели Рубио пред CNN. „ Това нарушаване е просто още един метод за Пекин да се насочи към всеки консуматор на Apple, който възприема като съперник. Времето за деяние е в този момент и Apple би трябвало да бъде държана виновна за това, че не съумя да отбрани своите консуматори против такива очевидни пробиви в сигурността.

Говорител на Apple не отговори на голям брой имейли и телефонни позвънявания за коментар.

Група основани в Германия откриватели от Техническия университет в Дармщат, които за първи път откриха минусите през 2019 година, споделиха пред CNN в четвъртък, че имат удостоверение, че Apple е получила първичния им отчет по това време, само че наподобява, че компанията не е подхванала дейности по отношение на констатациите. Същата група разгласява препоръчано решение за казуса през 2021 година, само че Apple наподобява не го е внедрила, споделиха откривателите

Един от откривателите, Милан Стюте, показа имейл с CNN, показващ представител на екипа за сигурност на продуктите на Apple, който признава отчета на откривателите през 2019 година

Предпазни ограничения „ не са взети “

Китайските управляващи настояват, че са употребявали уязвимостите, като са събрали част от главната идентифицираща информация, която би трябвало да бъде трансферирана сред две устройства на Apple, когато употребяват AirDrop - данни, в това число имена на устройства, имейл адреси и телефонни номера.

Обикновено тази информация се кодира от съображения за дискретност. Но съгласно обособен разбор от 2021 година на проучването в Дармщат от основаната в Обединеното кралство компания за киберсигурност Sophos, Apple наподобява не е взела спомагателната защитна мярка за прибавяне на подправени данни към сместа, с цел да рандомизира в допълнение резултатите – развой, прочут като „ осоляване “. ”

Този явен неуспех разреши на китайската софтуерна компания по-лесно да направи назад инженерство на истинската информация от криптираните данни, което наподобява е „ нещо като аматьорска неточност “ на Apple, сподели Саша Мейнрат, катедра Palmer по телекомуникации в Penn State University. „ Това сигурно заслужава пояснение от Apple, защото би показало сериозен пропуск в тяхната технология. “

Въпреки че информационният канал на AirDrop от устройство към устройство нормално е предпазен от подслушване от трета страна посредством лично равнище на сигурност, това не би предпазило някой, който може да е бил подведен да се свърже с чужд, може би посредством допиране на лъжливо наименувано устройство в лист с контакти или посредством безогледно приемане на непоискана поръчка за връзка. Тази стъпка е нужна, с цел да бъде разпознат подателят, съгласно специалисти по сигурността.

След като информацията за идентифициране на устройството бъде обменена и получена от неупълномощена трета страна, неналичието на осоляване би направила елементарно отгатването на верните кодове, които биха декодирали данните, споделиха специалистите.

Китайската софтуерна компания Wangshendongjian Technology, която твърди, че е употребила AirDrop, наподобява е употребила някои от същите техники, разпознати за първи път от откривателите от Дармщат през 2019 година, сподели Александър Хайнрих, един от немските откриватели.

„ Доколкото ни е известно, Apple не е разгледала казуса до момента “, сподели Хайнрих пред CNN.

Кен Уайт, самостоятелен откривател по сигурността, профилиран в цифровата криминалистика, се съгласи, че това, което китайските управляващи разкриха за техния хак, е в сходство с това, което откриха немските откриватели.

„ При моето четене бих споделил, че това съвсем несъмнено употребява същите техники, които Heinrich et al разгласиха “, сподели Уайт. „ Повече от три години и този недостатък в дизайна наподобява не е бил отхвърлен. “

Apple под натиск

По петите на китайското изказване, сенатор Рон Уайдън, демократ от Орегон и вокален бранител на поверителността в Конгреса, разкритикува Apple за „ очевиден неуспех “ да отбрани своите клиенти.

„ Apple имаше четири години, с цел да поправи дупката в сигурността на AirDrop, която изложи на риск поверителността и сигурността на нейните консуматори “, сподели Уайдън в изказване за CNN. „ Apple седеше със скръстени ръце и не направи нищо, вместо да отбрани деятели за правата на индивида, които зависят от iPhone, с цел да споделят известия, които китайското държавно управление не желае хората да виждат. “

Технологичната компания, която стои зад употребата на AirDrop, има история на тясно съдействие с китайските правоприлагащи органи и органи за сигурност.

Нейната компания майка е мощната китайска компания за киберсигурност Qi An Xin, съгласно корпоративната база данни Aiqicha. Qi An Xin беше нает да отбрани Зимните олимпийски игри в Пекин през 2022 година от хакерски атаки, съгласно формалната осведомителна организация Xinhua.

„ Отново и още веднъж китайското държавно управление се обръща към частните