Pemburu bug Google yang mendesak Apple untuk Mengubah Keamanan iOS-nya…
Peneliti Project Zero menyoroti bug iOS yang membandel sebagai contoh alasannya Apple dan industri lainnya membutuhkan pendekatan baru untuk keamanan sistem.
Pemburu bug Google lengkap, Ian Beer diculik Apple pada hari Rabu, mendesak pembuat iPhone untuk mengubah budayanya dalam hal keamanan iOS. Dia mengatakan perusahaan menghadapi masalah yang terlalu umum dalam menambal bug iOS, tetapi tidak memperbaiki akar sistem yang berkontribusi pada kerentanan.
Sejak 2016, anggota tim Project Zero mengatakan dia telah menemukan lebih dari 30 bug iOS. Selama sesi panel Black Hat “A Brief History of Mitigation: The Path to EL1 in iOS 11”, dia melihat eksploitasi “async_wake” untuk iOS 11.1.2 yang dia rilis pada bulan Desember bersamaan dengan pertimbangan hampir setengah lusin bug tambahan yang dia sarankan Apple seret untuk memperbaikinya.
Beer mengatakan dia tidak menyalahkan peneliti keamanan individu. Sebaliknya, ia telah memoderasi kritiknya terhadap organisasi yang kekuatan keamanannya memiliki latar belakang akademis versus eksploitatif.
“Tidak dapat disangkal bahwa orang-orang ini memiliki keahlian keamanan teknis yang sangat kuat. Tapi, mereka tidak memiliki latar belakang pertambangan… Fokus mereka adalah pada desain sistem, bukan pertambangan,” katanya. “Tolong, kita harus berhenti hanya memperbaiki kesalahan dan belajar darinya, dan bertindak berdasarkan itu.”
Beer mengatakan setiap bug perlu menjadi pelajaran yang perlu ditanyakan oleh pemimpin keamanan: “Mengapa bug ini ada di sini? Bagaimana itu digunakan? Bagaimana kita melewatkannya lebih cepat? Masalah proses apa yang perlu ditangani agar kami dapat menemukannya lebih cepat? Siapa yang memiliki akses ke kode ini dan meninjaunya dan mengapa, untuk alasan apa, mereka tidak melaporkannya? “
Dan dalam panggilan provokatif kepada CEO Apple Tim Cook, Beer secara langsung menantangnya untuk menyumbangkan $2,5 juta ke Amnesty International — kira-kira setara dengan pendapatan bug bounty untuk lebih dari 30 kerentanan iOS yang ditemukan Beer.
“Dua tahun lalu di panggung ini Apple mengumumkan program karunia bug. Apple kata bir. Bagian dari AppleTujuan dari seluruh komunitas penelitian adalah bahwa semua bug akan ditanggapi dengan serius dan Apple akan mempertimbangkan untuk memberi penghargaan kepada pemburu hadiah di luar program dalam misi tanpa pamrih untuk melindungi platform. Apple mengatakan bahwa sebagai pengganti bonus, mereka akan mempertimbangkan untuk menyumbang ke badan amal pilihan peneliti.
Bir mendesak Cook untuk menyumbangkan hadiah uang apa pun Apple mungkin bersedia berbagi dengan Beer untuk Amnesty International.
Bir telah menghapus badan amal karena serangan baru-baru ini terhadapnya. Awal bulan ini, Amnesty International menerbitkan sebuah laporan yang menyatakan bahwa itu telah ditargetkan oleh musuh nasional – pengguna alat jaringan seluler yang disebut Pegasus – yang dijual oleh perusahaan NSO. Kelompok ini berbasis di Israel. Beer mencatat bahwa pesan yang dikirim oleh musuh tampaknya adalah iMessages.
Pada tahun 2016, Citizen Lab and Lookout menemukan bahwa Pegasus digunakan untuk mengontrol Apple perangkat yang menggunakan tiga kerentanan zero-day iOS, yang secara kolektif dikenal sebagai Trident. Amnesty mengatakan ponsel Android dan iOS menjadi sasaran serangannya.
Bir menyarankan itu Apple perlu untuk mengunci lebih baik iOS karena korban APT dan pengguna iPhone lainnya semakin meningkat. Dia mengutip insiden lain yang dilaporkan di mana pendukung pajak anti-obesitas di Meksiko menjadi sasaran dalam serangan yang menargetkan pengguna iPhone dengan pesan teks terkait spyware.
“Penambangan bertarget lebih umum daripada yang Anda kira,” katanya. Dia mencatat bahwa Pegasus telah beralih dari serangan desa ke serangan yang tampaknya menggunakan cincin soda manis.
Bir menyebut pendekatan keamanan apa pun yang menggunakan perbaikan sebagai ukuran keamanan gagal. Dia menyebutnya “selimut lembut” yang hanya memberikan ilusi kemajuan. Waktu untuk perbaikan keamanan yang terisolasi sudah berakhir – dan tujuannya adalah untuk memahami akar penyebab dan mengurangi penyebab tersebut, katanya.
Sumber: ancaman
