أخبار الإنترنتأخبار قطاع الأعمالالأمن الإلكترونيبرامج وتطبيقاتدراسات وتقاريرمنوعات تقنية

فريق جوجل الأمني يقاطع برنامج آبل الأمني

أعلن فريق جوجل للبحث عن الأخطاء (Project Zero) عن خطط لتخطي برنامج أبحاث الأمان الجديد للأجهزة (SRD) من آبل بسبب قواعد آبل التقييدية التي تحيط بعملية الكشف عن الثغرات.

وتتضمن قائمة المقاطعين أيضًا بعض الأسماء الكبرى في مجال أبحاث الثغرات في آيفون: مثل ويل سترافاخ (Will Strafach)، وشركة الأمن (ZecOps)، وفريق البحث الأمني في مجال الثغرات (Axi0mX).

ووعدت شركة آبل بتوفير أجهزة آيفون معدلة لباحثي الأمان من خلال البرنامج، بحيث تحتوي هذه الأجهزة على قيود أقل، وتسمح بوصول أعمق إلى عتاد الجهاز ونظام التشغيل (iOS)، حتى يتمكن الباحثون في مجال الأمن من البحث عن الأخطاء.

وأعلنت شركة آبل رسميًا عن برنامج (SRD) في شهر ديسمبر 2019، ويحتوي موقع آبل على القواعد الرسمية لبرنامج (SRD).

ووفقًا للشكاوى التي تم نشرها على منصات التواصل الاجتماعي، فإن هناك بندًا معينًا أثار سخط معظم الباحثين الأمنيين.

ويقول البند: إذا أبلغت عن ثغرة تؤثر على منتجات آبل، فستزودك آبل بتاريخ النشر (وهو التاريخ الذي تطلق فيه آبل التحديث لحل المشكلة)، وستعمل آبل على إصلاح الثغرة في أقرب وقت ممكن عمليًا، ولا يمكنك مناقشة الثغرة مع الآخرين حتى تاريخ النشر.

وتسمح الفقرة لشركة آبل بإسكات باحثي الأمن، ويمنح البند آبل التحكم الكامل في عملية الكشف عن الثغرات الأمنية.

ويتيح البند للشركة المصنعة لهواتف آيفون تحديد تاريخ النشر، مما يمنع باحثي الأمن من التحدث أو نشر أي شيء حول الثغرات التي يكتشفونها في (iOS).

ويخشى العديد من الباحثين من أن آبل ستسيء استخدام هذا البند لتأخير التصحيحات الهامة وتأجيل طرح تحديثات الأمان من خلال تأجيل تاريخ النشر، فيما يخشى آخرون أن تستخدم آبل هذا البند لمنعهم من النشر حتى عن عملهم.

وكان بن هوكرز (Ben Hawkers)، رئيس فريق جوجل الأمني (Project Zero)، أول من لاحظ هذا البند وفهم آثاره.

وقال هوكس عبر حسابه الرسمي على منصة تويتر: “يبدو أننا لن نتمكن من استخدام برنامج الأمان الجديد من آبل؛ بسبب قيود الكشف عن الثغرات الأمنية، ويبدو أن هذه القيود مصممة خاصةً لاستبعاد فريق (Project Zero) والباحثين الآخرين الذين يستخدمون سياسة 90 يومًا”.

وحصدت تغريدة هوكس الكثير من الاهتمام في مجتمع المعلومات، وسرعان ما اتبع باحثو الأمن قرار فريق جوجل، وقال ويل سترافاخ (Will Strafach): إنه لن ينضم إلى البرنامج بسبب هذا البند نفسه.

وأعلنت شركة (ZecOps) أنها ستتخطى برنامج (SRD)، وتواصل اختراق أجهزة آيفون بالطريقة القديمة، فيما قال فريق البحث الأمني (​​Axi0mX): إنهم يفكرون في عدم المشاركة أيضًا.

كما انتقد أليكس ستاموس (Alex Stamos)، الرئيس السابق لأمن المعلومات في فيسبوك، خطوة شركة آبل.

وتأتي هذه الخطوة كجزء من مجموعة أكبر من القرارات التي اتخذتها الشركة في الأشهر الأخيرة ضد مجتمع الأمن الإلكتروني وأبحاث الثغرات الأمنية.

ويبدو أن المخاوف من أن آبل قد تسيء استخدام برنامج (SRD) لدفن أخطاء (iOS) الهامة؛ لها ما يبررها بالنسبة لأولئك الذين تابعوا برامج أمان آبل.

وقد اتُهمت آبل بالممارسة نفسها من قبل، حيث هاجم جيف جونسون (Jeff Johnson)، مطور برامج لنظامي (macOS) و (iOS)، الشركة لأنها لم تكن جادة بما يكفي بشأن عملها الأمني عبر سلسلة من التغريدات المنشورة في شهر أبريل.

زر الذهاب إلى الأعلى