Az iTuneson át lehetett bepoloskázni a PC-t

Nem titkos fórumokon utolérhető hackerek, hanem legális, megfigyelési szoftvereket gyártó cég készítette azt a programot, amely az Apple egy hibáját kihasználva megfigyelhetővé tette a számítógépükön az iTunes zenelejátszót használók tevékenységét. A Gama International UK nevű cég honlapján is hirdette, hogy az Apple zenelejátszójának segítségével bármely gépet be tud poloskázni. Az iTunes azért különösen jó célpont, mert az iPodok, iPhone-ok és iPad-ek szinkronizálásához még a Windowst használók is kénytelenek feltelepíteni számítógépükre. A cég 2011 júniusi adatai szerint világszerte összesen 250 millió PC-n található meg a program.

A Gamma olyan technológiákat biztosított a kormányok rendelkezésére, amelyeket hagyományosan a károkozástól sem visszariadó, "fekete kalaposnak nevezett" hackerek alkalmaznak. A Wall Street Journal szombaton publikált Megfigyelési Dosszié című oknyomozó anyagában három olyan cég szerepel, amelyek ilyen hackertechnológiát árusítottak. A cégek szerint eszközeikre azért van szükség, hogy a rendészeti szervek el tudják fogni a csúcstechnológiát használó bűnözőket. A Gamma legnépszerűbb terméke a FinFisher nevű szoftver volt, amely hamis szoftverfrissítésekkel jutott el az áldozatok számítógépére. A program először 2011 márciusában került a kutatók látókörébe, amikor az egyiptomi nemzetbiztonsági szolgálat irodáit elfoglalták a tüntetők, és olyan dokumentuok kerültek elő, amelyek szerint a kormány FinFisher licenceket vásárolt.

Három éve ismert a hiba

Az Apple szóvivője a dossziét bejelentő cikkben úgy nyilatkozott, hogy a cég dolgozik a FinFisher által kihasznált hiba javításán. A cég meg is jelentetett egy biztonsági frissítést a zenelejátszóhoz, amely elvben képes a FinFisher terjedését meggátolni. "Felhasználóink biztonsága és magánszférájának sértelensége nagyon fontos számunkra" - nyilatkozta a cég szóvivője.

Brian Krebs IT-biztonsági újságíró szerint az Apple nem volt teljesen őszinte a FinFisher ügyében. A megfigyelőprogram által használt hibát ugyanis már 2008-ban felfedezte és jelentette egy kutató a cégnek, ám az Apple több mint 1200 nappal később, a Wall Street Journal cikk után javította a hibát. A sebezhetőség azután került Krebs látókörébe, hogy egy argentin kiberbiztonsági szakértő bemutatta az Evilgrade nevű tesztelő programját, ami hamis frissítéseket tudott küldeni a felhasználóknak.

A kávézók és repterek hálózatán frissítéseket sem szabad letölteni

Amato korábbi kutatását az Apple is elismerte. A novemberben kiadott iTunes frissítés leírásában hivatkoznak a biztonsági kutató munkájára. Krebs 2006-os felmérése szerint az Apple átlagosan 91 nap után foltozza be a nyilvánosságra jutott hibákat, és a leghosszabb ideig elhúzódó javítás sem vett 245 napnál több időt igénybe. A kutató szerint nincs jó magyarázat arra, hogy a FinFisher által kihasznált egyszerű hiba javításához miért volt szükség ezernél is több napra.

Nem vált teljesen hatástalanná a kémprogram

A FinFisher nem csak az iTunes telepítőjének képes álcázni magát. Új Flash-frissítésnek is tudja magát hazudni a megfigyelőprogram. Az ezt lehetővé tevő hiányosságról a Wall Street Journal megkérdezte a Flasht gyártó Adobe-t, ám nem kaptak választ a cégtől.

Amíg vannak olyan elterjedt szoftverek, amelyek nem ellenőrzik, hogy valóban a gyártójuktól származik-e a frissítés, addig a FinFisher-jellegű támadások hatékonyak maradnak. A helyzetet bonyolítja, hogy a digitálisan alálírt telepítőkészletek sem nyújtanak teljes védelmet. Az Apple például aláírja a telepítőket, ám a mechanizmus egy másik részének hibája miatt a támadók mégis képesek az iTunes-frissítésnek álcázni programjukat.