14 de fevereiro de 2020



APPLE GOOGLE POLITICA TECNOLOGIA

As apostas são muito altas para a Apple girar as explorações do iPhone

Hoje, a Apple respondeu à descoberta do Google de uma grande falha de segurança do iPhone com uma declaração ofensiva que acusava seu rival de criar “impressões falsas”. Mas a Apple fez muito pouco para esclarecer essas impressões falsas e parece ter criado algumas por conta própria, como veremos lendo atentamente.

Primeiro, vamos falar sobre o que a Apple confirmou. Quando o Google publicou originalmente informações detalhadas sobre as explorações do iOS, ele não disse especificamente por que elas foram criadas ou para quem foram direcionadas. Após a divulgação do Google, o TechCrunch informou que as explorações faziam parte de um ataque patrocinado pelo Estado, destinado a atingir a população uigur de minoria chinesa. (Os atacantes também teriam como alvo dispositivos Android e Windows.) Foi amplamente divulgado que a China está perseguindo a minoria uigure no país com tortura, internação e vigilância; Ontem, a Reuters e a CNN informaram que a China está tentando invadir as telecomunicações para rastrear uigures por toda a Ásia. Portanto, há um amplo contexto em relação à fonte e ao objetivo em potencial de explorações do iOS, como a divulgada pelo Google.

A Apple confirmou hoje que as explorações do iOS eram realmente direcionadas aos uigures; A Apple diz que “afetou menos de uma dúzia de sites que se concentram no conteúdo relacionado à comunidade uigure”. Mas o enquadramento da Apple minimiza o contexto e as possíveis conseqüências da exploração contra essa comunidade em favor da irritação na postagem do blog do Google e na subsequente cobertura da mídia .

Para seu crédito, a Apple divulgou e confirmou a exploração direcionada à comunidade uigur, o que o Google não fez. Mas a declaração da Apple está quase totalmente focada nas falhas percebidas pelo Google, em vez da perseguição contínua de uma minoria religiosa na China, que é um dos maiores mercados da Apple e também o foco de uma guerra comercial em curso que implica diretamente os produtos da empresa.

Várias vezes, na declaração de hoje, a Apple pega algo que o próprio Google disse e o descreve como um ato de omissão.

Apple:

Primeiro, o ataque sofisticado foi focado por pouco, não uma exploração ampla dos iPhones “em massa”, conforme descrito. O ataque afetou menos de uma dúzia de sites que se concentram no conteúdo relacionado à comunidade uigure.

Google:

No início deste ano, o Grupo de Análise de Ameaças (TAG) do Google descobriu uma pequena coleção de sites invadidos. Os sites invadidos estavam sendo usados ​​em ataques indiscriminados de água contra seus visitantes, usando o iPhone 0 dias.

Aqui, a Apple repete a alegação original do Google, mas a especifica, conectando-a a uma linha posterior do artigo sobre o ataque ser “em massa”. Pessoas razoáveis ​​podem discordar sobre o escopo de “em massa”, que significa tanto “um grupo” e “todos juntos”, mas o Google certamente não omitiu informações sobre o vetor do ataque.

Apple:

A publicação do Google, publicada seis meses após o lançamento dos patches para iOS, cria a falsa impressão de “exploração em massa” para “monitorar as atividades privadas de populações inteiras em tempo real”, alimentando o medo entre todos os usuários do iPhone de que seus dispositivos foram comprometidos.

Apple:

Usuários reais tomam decisões de risco com base na percepção pública da segurança desses dispositivos. A realidade é que as proteções de segurança nunca eliminarão o risco de ataque se você estiver sendo alvo. Ser alvejado pode significar simplesmente nascer em uma determinada região geográfica ou fazer parte de um determinado grupo étnico. Tudo o que os usuários podem fazer é ter consciência do fato de que a exploração em massa ainda existe e se comportar de acordo; tratando seus dispositivos móveis como parte integrante de suas vidas modernas, mas também como dispositivos que, quando comprometidos, podem carregar todas as suas ações em um banco de dados para potencialmente serem usados ​​contra eles.

[…]

Não discutirei se essas explorações custam US $ 1 milhão, US $ 2 milhões ou US $ 20 milhões. Em vez disso, vou sugerir que todos esses preços pareçam baixos para a capacidade de direcionar e monitorar as atividades privadas de populações inteiras em tempo real.

A Apple considera aqui as citações do Google completamente fora de contexto. O Google está falando sobre a percepção de risco e a vulnerabilidade inerente à computação, o que não está realmente em debate. Também está falando sobre a segmentação em massa de uma comunidade específica; como aprendemos hoje, essa comunidade é uma minoria religiosa sendo ativamente perseguida na China. É bizarro que a Apple os marginalize aqui, ignorando as nuances do ataque e extrapolando as preocupações do Google para “todos os usuários do iPhone”.

Apple:

Segundo, todas as evidências indicam que esses ataques ao site permaneceram operacionais apenas por um breve período, aproximadamente dois meses, e não “dois anos”, como o Google implica.

Google:

O TAG conseguiu coletar cinco cadeias de exploração de iPhone separadas, completas e únicas, cobrindo quase todas as versões do iOS 10 até a versão mais recente do iOS 12. Isso indicou um grupo que fazia um esforço contínuo para hackear os usuários de iPhones em determinadas comunidades por um período período de pelo menos dois anos.

[…]

A análise inicial indicou que pelo menos uma das cadeias de escalação de privilégios ainda estava em um dia e sem patches no momento da descoberta (CVE-2019-7287 e CVE-2019-7286). Relatamos esses problemas à Apple com um prazo de 7 dias em 1 de fevereiro de 2019, o que resultou no lançamento fora da banda do iOS 12.1.4 em 7 de fevereiro de 2019. Também compartilhamos os detalhes completos com a Apple, divulgados publicamente em 7 fev 2019.

Onde o Google indica que os ataques ao site estavam operacionais por dois anos? O Google diz explicitamente que suas evidências indicaram “um grupo fazendo um esforço sustentado” ao longo desses dois anos, não que os usuários do iPhone estivessem comprometidos o tempo todo, e aponta para a divulgação dessas vulnerabilidades à Apple. A leitura da Apple aqui é enganosa, na melhor das hipóteses.

Google:

Não houve discriminação alvo; simplesmente visitar o site invadido foi suficiente para o servidor de exploração atacar seu dispositivo e, se for bem-sucedido, instale um implante de monitoramento. Estimamos que esses sites recebam milhares de visitantes por semana.

Apple:

Independentemente da escala do ataque, levamos a segurança de todos os usuários extremamente a sério.

A Apple não ganhou um “independentemente” aqui. Não nos deu idéia da escala real do ataque. Nem sequer responde à estimativa do Google de que milhares de visitantes possam ter sido afetados por semana. Mesmo se considerarmos a palavra da Apple de que a exploração esteve operacional apenas por dois meses, são potencialmente dezenas de milhares (ou mais) de vítimas involuntárias que são membros de uma população vulnerável que atualmente está sendo alvo de um governo repressivo. “Levar a segurança de todos os usuários extremamente a sério” manteria o foco nos usuários sob ataque, não nos pesquisadores do Google que descobriram as explorações.