Wyciek zawiera szczegółowe informacje na temat tajnego brudu firmy Apple dotyczącego uruchamiania zaufanych zabezpieczeń

0
33

Zach Edwards, niezależny badacz prywatności i bezpieczeństwa, mówi, że „wrażliwej technologii nie można przypadkowo sprzedać żadnej firmie, w żadnym kraju na świecie”.

„Chociaż Corellium jest narzędziem do inżynierii wstecznej, które samo w sobie nie stwarza ryzyka poprzez jego sprzedaż, głównym celem tego narzędzia jest odwracanie złośliwego oprogramowania” — mówi Edwards. „A jeśli sprzedajesz produkt twórcom złośliwego oprogramowania w krajach niechętnych interesom Zachodu, powinniśmy założyć, że to narzędzie będzie używane do ulepszania złośliwego oprogramowania”.

Osoba, która próbowała Corellium w przeszłości, która poprosiła o zachowanie anonimowości, ponieważ nie pozwolono jej rozmawiać z prasą, mówi, że „biorąc pod uwagę to, co dzieje się dzisiaj na świecie, nie należy mieć do czynienia z rosyjskimi firmami”, takimi jak Elcomsoft .

Dyrektor generalny Elcomsoft Katalov mówi, że „decyzja o współpracy z firmą z siedzibą w Rosji jest osobistym wyborem”.

„Zapewniamy, że nadal staramy się dostarczać najlepsze oprogramowanie i usługi oraz utrzymywać dobre relacje z naszymi klientami na całym świecie” — dodaje. „Będziemy po prostu wykonywać naszą pracę, czyniąc świat bezpieczniejszym miejscem i walcząc z przestępczością”.

Adrian Sanabria, weteran cyberbezpieczeństwa, mówi, że nie jest zaskakujące, że „grupy zainteresowane tworzeniem exploitów dla iOS korzystałyby z platformy przeznaczonej do badań nad bezpieczeństwem iOS”.

„Dla mnie głównym wnioskiem jest to, że Apple stworzyło zapotrzebowanie na platformy takie jak Corellium, nie zapewniając narzędzi, dostępu i przejrzystości, których potrzebuje i pragnie rynek”, mówi.

Strefy zagrożenia

Niektóre organizacje i firmy powiązane z Corellium w dokumencie pochodzą z krajów postrzeganych jako kontrowersyjne przez większość osób ze społeczności cyberbezpieczeństwa na Zachodzie, w tym Alexa Stamosa, który występował jako biegły sądowy dla Corellium w procesie przeciwko Apple.

„Osobiście nie wierzę, że sprzedawanie exploitów Arabii Saudyjskiej byłoby etyczne” — powiedział Stamos, dyrektor Obserwatorium Internetowego Uniwersytetu Stanforda, podczas zeznań, które złożył w procesie sądowym między Apple a Corellium, cytowanym w dokumencie.

Stamos wyraził też wątpliwości co do sprzedaży produktów do Zjednoczonych Emiratów Arabskich, których rząd miał bliskie relacje z DarkMatter. „Wykazano, że Zjednoczone Emiraty Arabskie używają złośliwego oprogramowania i exploitów do szpiegowania dziennikarzy i tłumienia lokalnego sprzeciwu” – powiedział Stamos.

W odpowiedzi na rewelacje zawarte w dokumencie, Stamos mówi, że nie uważa, że ​​„stosowne jest, aby Apple wykorzystywało prawa autorskie do prób powstrzymania badań nad bezpieczeństwem i nie sądzę, aby Corellium było odpowiedzialne za oferowanie swojego produktu firmom znanym z tworzenia złośliwych oprogramowanie dla państw autorytarnych”.

Dokument zawiera również loga rzekomych klientów Corellium i powiązanych z nim firm. Oprócz wspomnianych wcześniej firm, dokument zawiera logo firmy Azimuth, dostawcy zaawansowanych narzędzi hakerskich dla służb wywiadowczych i organów ścigania tzw. Five Eyes. Inne logo to Centre for Strategic Infocomm Technologies of Singapore (CSIT), a także logo instytucji akademickiej w Arabii Saudyjskiej o nazwie Centre of Excellence in Information Assurance (COEIA), mieszczącej się na Uniwersytecie Króla Sauda.

Kierownictwo CSIT nie odpowiedziało na prośbę o komentarz. Oprócz logo COEIA, dokument pokazuje również wiadomość e-mail z 2019 r. zatytułowaną „zaproszenie do Corellium”, wysłaną do organizacji. COEIA nie odpowiedziała na prośbę o komentarz.

Prawna bitwa między Apple a Corellium trwa. Pod koniec zeszłego miesiąca obie firmy pojawiły się na rozprawie przed Jedenastym Okręgiem Sądu Apelacyjnego Stanów Zjednoczonych na Florydzie. Prawniczka Apple, Melissa Sherry, argumentowała, że ​​produkt Corellium to tylko nieco ulepszona wersja iOS, która nie jest wystarczająco transformacyjna, aby nie być dozwolonym użytkowaniem. Adwokat Corellium, Kevin Russell, powiedział, że produkt pomaga użytkownikom „rzucić światło na funkcjonalność systemu operacyjnego Apple”, a zatem jest to dozwolony użytek.

„Nie sądzę, aby istniał prawdziwy spór co do tego, że celem produktu jest eksploracja niezabezpieczonej funkcjonalności oprogramowania systemowego” — powiedział. „To, co ludzie robią z tą wiedzą, jest przedmiotem innej ustawy”.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj