Apple знаеше, че потребителите на AirDrop могат да бъдат идентифицирани и проследявани още през 2019 г., твърдят изследователи
Бележка на редактора: Регистрирайте се за бюлетина Meanwhile in China на CNN, който изследва какво трябва да знаете за възхода на страната и как той влияе върху света.
Изследователите по сигурността предупредиха Apple още през 2019 г. за уязвимости в неговата функция за безжично споделяне AirDrop, които китайските власти твърдят, че наскоро са използвали, за да проследят потребителите на функцията, казаха изследователите пред CNN, в случай, който според експертите има сериозни последици за глобалната поверителност.
Действията на китайското правителство, насочени към инструмент, който клиентите на Apple по целия свят използват за споделяне на снимки и документи – и очевидното бездействие на Apple за отстраняване на недостатъците – съживяват дългогодишната загриженост на американските законодатели и защитници на поверителността относно отношенията на Apple с Китай и относно способността на авторитарните режими да изкривяват американските технологични продукти за собствените си цели.
AirDrop позволява на потребителите на Apple, които са близо един до друг, да споделят файлове, използвайки патентована комбинация от Bluetooth и друга безжична връзка, без да се налага да се свързват с интернет. Функцията за споделяне е използвана от продемократични активисти в Хонконг и китайското правителство в отговор наложи строги мерки срещу функцията.
Китайска технологична фирма, базираната в Пекин Wangshendongjian Technology, успя да компрометира AirDrop, за да идентифицира потребители в метрото в Пекин, обвинени в споделяне на „неподходяща информация“, съобщиха съдебните власти в Пекин тази седмица.
Въпреки че китайските власти представиха експлойта като ефективна техника за правоприлагане, защитниците на свободата в интернет призовават Apple да се заеме с проблема бързо и публично.
„Отговорът на Apple на тази ситуация е от решаващо значение“, каза Бенджамин Исмаил, директор на кампанията и застъпничеството на Greatfire.org, група, която наблюдава интернет цензурата в Китай. „Те трябва или да опровергаят твърдението, или да го потвърдят и незабавно да работят по осигуряването на AirDrop срещу подобни уязвимости. Наложително е Apple да бъде прозрачен относно отговора си на тези развития.
Китайското твърдение разтревожи висши американски законодатели. Сенаторът от Флорида Марко Рубио, водещият републиканец в комисията по разузнаване на Сената, призова Apple да действа бързо.
„Всеки, който използва iPhone, трябва да се тревожи за сигурността на AirDrop функцията на Apple“, каза Рубио пред CNN. „Това нарушение е просто още един начин за Пекин да се насочи към всеки потребител на Apple, който възприема като противник. Времето за действие е сега и Apple трябва да бъде държана отговорна за това, че не успя да защити своите потребители срещу такива явни пробиви в сигурността.
Говорител на Apple не отговори на множество имейли и телефонни обаждания за коментар.
Група базирани в Германия изследователи от Техническия университет в Дармщат, които за първи път откриха недостатъците през 2019 г., казаха пред CNN в четвъртък, че имат потвърждение, че Apple е получила първоначалния им доклад по това време, но изглежда, че компанията не е предприела действия спрямо констатациите. Същата група публикува предложено решение за проблема през 2021 г., но Apple изглежда не го е внедрила, казаха изследователите
Един от изследователите, Милан Стюте, сподели имейл с CNN, показващ представител на екипа за сигурност на продуктите на Apple, който признава доклада на изследователите през 2019 г.
Предпазни мерки „не са взети“
Китайските власти твърдят, че са използвали уязвимостите, като са събрали част от основната идентифицираща информация, която трябва да бъде прехвърлена между две устройства на Apple, когато използват AirDrop - данни, включително имена на устройства, имейл адреси и телефонни номера.
Обикновено тази информация се кодира от съображения за поверителност. Но според отделен анализ от 2021 г. на изследването в Дармщат от базираната в Обединеното кралство фирма за киберсигурност Sophos, Apple изглежда не е взела допълнителната предпазна мярка за добавяне на фалшиви данни към сместа, за да рандомизира допълнително резултатите – процес, известен като „осоляване“. ”
Този очевиден провал позволи на китайската технологична фирма по-лесно да направи обратно инженерство на оригиналната информация от криптираните данни, което изглежда е „нещо като аматьорска грешка“ на Apple, каза Саша Мейнрат, катедра Palmer по телекомуникации в Penn State University . „Това със сигурност заслужава обяснение от Apple, тъй като би посочило сериозен пропуск в тяхната технология.“
Въпреки че комуникационният канал на AirDrop от устройство към устройство обикновено е защитен от подслушване от трета страна чрез собствено ниво на сигурност, това не би предпазило някой, който може да е бил подмамен да се свърже с непознат, може би чрез докосване на измамно наименувано устройство в списък с контакти или чрез необмислено приемане на непоискана заявка за връзка. Тази стъпка е необходима, за да бъде идентифициран подателят, според експерти по сигурността.
След като информацията за идентифициране на устройството бъде обменена и получена от неупълномощена трета страна, липсата на осоляване би направила лесно отгатването на правилните кодове, които биха декодирали данните, казаха експертите.
Китайската технологична фирма Wangshendongjian Technology, която твърди, че е използвала AirDrop, изглежда е използвала някои от същите техники, идентифицирани за първи път от изследователите от Дармщат през 2019 г., каза Александър Хайнрих, един от германските изследователи.
„Доколкото ни е известно, Apple не е разгледала проблема досега“, каза Хайнрих пред CNN.
Кен Уайт, независим изследовател по сигурността, специализиран в дигиталната криминалистика, се съгласи, че това, което китайските власти разкриха за техния хак, е в съответствие с това, което откриха германските изследователи.
„При моето четене бих казал, че това почти сигурно използва същите техники, които Heinrich et al публикуваха“, каза Уайт. „Повече от три години и този дефект в дизайна изглежда не е бил отстранен.“
Apple под натиск
По петите на китайското твърдение, сенатор Рон Уайдън, демократ от Орегон и вокален защитник на поверителността в Конгреса, разкритикува Apple за „явен провал“ да защити своите клиенти.
„Apple имаше четири години, за да поправи дупката в сигурността на AirDrop, която изложи на риск поверителността и безопасността на нейните потребители“, каза Уайдън в изявление за CNN. „Apple седеше със скръстени ръце и не направи нищо, вместо да защити активисти за правата на човека, които зависят от iPhone, за да споделят съобщения, които китайското правителство не иска хората да виждат.“
Технологичната фирма, която стои зад експлоатацията на AirDrop, има история на тясно сътрудничество с китайските правоприлагащи органи и органи за сигурност.
Нейната компания майка е мощната китайска фирма за киберсигурност Qi An Xin, според корпоративната база данни Aiqicha. Qi An Xin беше нает да защити Зимните олимпийски игри в Пекин през 2022 г. от кибератаки, според официалната информационна агенция Xinhua.
„Отново и отново китайското правителство се обръща към частните
