کمیته رکن چهارم – اپل تایید کرده که بخشی از کد منبع سیستمعامل موبایل این شرکت (iOS) منتشر شده است. کوپرتینوییها میگویند کد منتشر شده قدیمی است و نگرانی در مورد امنیت محصولات آنها وجود ندارد.
یکی از مشکلات همیشگی اپل درز اطلاعات محصولات آتی این شرکت و تلاش برای جلوگیری از انتشار این اطلاعات بوده است. اما حالا اپل با دردسر بزرگتری روبرو است؛ چرا که کاربری ناشناس بخش مهمی از کد منبع سیستمعامل موبایلاپل، آی اواس را در گیتهاب (github) که یک سرویس محبوب برای اشتراکگذاری کدها است، منتشر کرده. برخی از کارشناسان معتقدند انتشار کد منبع آی اواس «بزرگترین درز اطلاعات تاریخ» است.
مقالههای مرتبط:
- تمرکز اپل بر درآمدهای سرویسمحور، پیشبینی عملکرد آیفون را دشوار میکند
هرچند در حال حاضر این کد از گیتهاب حذف شده، اما مطمئنا پیش از حذف آن افراد زیادی موفق به دریافت این کد منبع شدهاند. اپل برای حذف این کد منبع از گیتهاب به قانون حق تکثیر مالکیت معنوی که بیشتر با نام «قانون کپیرایت هزاره دیجیتال» شناخته میشود متوسل شده است. بهعقیدهی یکی از محققان دانشگاه واشگتن بهنام کارل کوشر، استفاده از قانون کپیرایت هزاره دیجیتال برای حذف این کد از گیتهاب به معنی مهر تاییدی بر واقعی بودن این کد منبع است؛ چرا که بر اساس این قانون، اپل بایستی اذعان کند که این کد واقعی بوده و در غیر اینصورت به جرم ادعای خلاف واقع مورد پیگرد قانونی قرار میگیرد.
در تقاضانامهی اپل برای حذف این کد بر اساس قانون کپیرایت، تیم قانونی این شرکت ادعا کرده که:
[کد منتشر شده نسخهای] بازسازی شده از کد منبع iBoot اپل است که برای کسب اطمینان از بوت شدن سیستمعامل آی اواس اپل بهصورت امن مورد استفاده قرار میگیرد. کد منبع iBoot تحت مالکیت اپل قرار دارد و اخطار مالیکت معنوی اپل نیز در آن گنجاند شده است. این کد منبعباز نیست.
کد منبع مورد بحث مربوط به نسخهی ۹.۳ آی اواس است که در بهار سال ۲۰۱۶ منتشر شده و ویژگیهای مانند Night Shift (حذف نور آبی در شب) و برخی بهبودهای دیگر را با خود بههمراه داشت. کد منتشر شده مربوط به بخشی از آی اواس است که با نام iBoot شناخته میشود و همانگونه که از نام آن پیدا است برای بوت شدن سیستمعامل مورد استفاده قرار میگیرد. به گفتهی اپل:
[بوتلودر آی اواس] بخش اول زنجیرهای امنیتی است که در آن هر مرحله، امن بودن مرحلهی بعد را از سوی اپل تضمین میکند.
اگر در این مرحلهی اولیه مشکلی ایجاد شود، امکان اجرای نرمافزارهای مخرب روی دستگاه وجود خواهد داشت. در بیانیهای که توسط اپل منتشر شده، اهالی کوپرتینو گفتهاند:
بهنظر میرسد کد منبعی که مربوط به سه سال پیش است منتشر شده؛ اما محصولات ما به گونهای طراحی شدهاند که امنیت آنها به پنهان ماندن کدها وابسته نیست. لایههای امنیتی سختافزاری و نرمافزاری زیادی در محصولات ما وجود دارند و ما همیشه مشتریان را تشویق میکنیم تا با دریافت جدیدترین بهروزرسانیهای نرمافزاری از آخرین [امکانات] امنیتی بهره ببرند.
در هر صورت انتشار این کد برای کوپرتینو نشینها ناراحت کننده خواهد بود و ممکن است خطراتی نیز بههمراه داشته باشد. فرایند بوت یکی از اساسیترین بخشهای سیستمعامل موبایل اپل و بهمنزلهی خط مقدم در دفاع از حملات بدافزارها و دیگر انواع حملات است. اهمیت این کد تا حدی است که اپل به توسعهدهندگانی که موفق شوند آسیبپذیریهایی در آن پیدا کنند مبلغ ۲۰۰ هزار دلار پرداخت میکند.
هرچند این کد متعلق به سیستمعاملی قدیمی است که دو سال از عمر آن میگذرد و تا کنون ۹۵ درصد از کاربران به نسخههای جدیدتر سیستمعامل موبایل اپل مهاجرت کردهاند؛ اما به احتمال زیاد بخشی از آن هنوز هم در جدیدترین نسخههای آی اواس ۱۱ مورد استفاده قرار میگیرد. یکی از موارد استفاده از کدهای منتشر شده استفاده از آنها جهت ایجاد نسخههای جیلبریک شدهی آی اواس خواهد بود. اما آشنایی بیشتر با کد منبع آی اواس برای هکرها نیز مفید خواهد بود؛ چرا که میتوانند بیشتر از گذشته با ساختار بستهی آی اواس آشنا شوند. با کاوش در کدهای منتشر شده، طراحان بدافزارها نیز میتوانند نقاط ضعف و آسیبپذیریهای احتمالی را کشف کرده و برای نفوذ به نسخههای مختلف آی اواس مورد استفاده قرار دهند.
اما کاربران عادی دست کم در حال حاضر نباید نگرانی زیادی داشته باشند. حمله به گوشی کاربران به کمک کدهای منبع iBoot احتمالا مستلزم دسترسی فیزیکی به گوشی خواهد بود؛ همچنین گوشی شما باید برای مدتی در اختیار هکرها باشد تا بتوانند سیستمعامل جدیدی روی آن نصب کنند. در هر صورت انتشار این کد به این معنی است که هکرها تلاش خواهند کرد تا از آن برای پیدا کردن آسیبپذیریهای احتمالی استفاده کنند؛ این کد برای افرادی که در تلاش برای تولید شبیهسازهای آی اواس هستند نیز میتواند مفید باشد.
منبع: زومیت
