В представленной на прошлой неделе разработчикам бета-версии iOS 10 от Apple отсутствует шифрование ядра. Это дает пользователям доступ к внутренним механизмам операционной системы и потенциальным уязвимостям в области безопасности, сообщает MIT Technology Review. Неизвестно, было ли это непреднамеренной ошибкой или сознательным шагом, направленным на поощрение сообщений об ошибках.
Эксперты по безопасности отмечают, что известная своей закрытостью компания, возможно, приняла новую смелую стратегию, призванную стимулировать большее количество людей сообщать об ошибках в ее программном обеспечении, или, возможно, допустила досадную оплошность.
В предыдущих версиях iOS Apple шифровала ядро — так называемое сердце операционной системы, которое определяет, как программное обеспечение использует аппаратное обеспечение iPhone и обеспечивает его безопасность. По словам экспертов, опрошенных MIT Technology Review, отсутствие шифрования в iOS 10 не ставит под угрозу безопасность системы, но облегчает поиск уязвимостей в операционной системе. Уязвимости в iOS могут быть использованы для создания джейлбрейков или вредоносного ПО.
Среди впервые раскрытых общественности деталей — мера безопасности, предназначенная для защиты ядра от модификации, говорит исследователь безопасности Мэтью Сольник. «Теперь, когда это стало общедоступным, люди смогут изучать это [и], потенциально, находить способы обойти ее», — говорит он.
Apple отказалась комментировать, было ли отсутствие шифрования преднамеренным или ошибкой, но эксперт по безопасности Джонатан Здзиарски считает, что это было сделано сознательно, поскольку такая ошибка нехарактерна для Apple. «Это было бы невероятно грубым упущением, сродни забывчивости установить двери в лифте», — сказал он MIT Technology Review.
Он также предполагает, что Apple могла выбрать этот путь, чтобы предотвратить накопление уязвимостей, подобных той, которую в конечном итоге использовали ФБР для взлома iPhone 5c террориста из Сан-Бернардино Саида Фарука, и чтобы больше людей анализировали код для выявления скрытых уязвимостей.
