چند روز پیش، اپل در پاسخ به پردهبرداری گوگل از یک نقص امنیتی بزرگ آیفون، طی بیانیهای رقیب خود را به ایجاد برداشتهای کاذب متهم کرد. اما اپل کار زیادی را برای پاک کردن این برداشتهای کاذب انجام نداده است و همانطور که در ادامه خواهیم دید؛ به نظر میرسد که برخی از اظهارات این شرکت بیاساس باشند.
ابتدا، در مورد آنچه که اپل تأیید کرده است صحبت خواهیم کرد. هنگامی که گوگل اطلاعات مفصلی درباره سوءاستفادهها از iOS را منتشر میکرد، آشکارا نمیگفت که چرا آنها ایجاد شدهاند یا اینکه چه کسی را مورد هدف قرار دادهاند. گوگل گزارش داد که این سوء استفادهها، بخشی از یک حمله گسترده با پشتیبانی دولت بوده که هدف از آن، حمله به اقلیت اویغورها در چین بوده است (گفته میشود که مهاجمان دستگاههای اندرویدی و ویندوزی را نیز مورد هدف قرار دادهاند). بهطور گستردهای گزارش شده است که چین در حال آزار اقلیت اویغورها با توسل به شکنجه، محکومیت و نظارت بیشازحد است. چند روز پیش، خبرگزاریهای رویترز و CNN گزارش دادند که چین در تلاش است تا شبکههای مخابراتی را جهت ردیابی اویغورها در سراسر آسیا، هک نماید. بنابراین زمینههای بالقوه زیادی با توجه به منبع و هدفهای احتمالی مرتبط با iOS وجود دارد؛ مانند موردی که توسط شرکت گوگل فاش شده است.
اپل تأیید کرد که سوءاستفاده از iOS در واقع مربوط به جامعه اویغورها است. اپل میگوید که این حملات کمتر از ده وبسایت مربوط به جامعه اویغورها را تحت تأثیر قرار دادهاند. اما توجه اپل به این حادثه سایبری و پیامدهای احتمالی آن، به دلیل واکنش به پست وبلاگ گوگل و همچنین پوشش رسانهای متعاقب، در حداقل قرار دارد.
به اعتقاد این شرکت، اپل هدف قرار دادن جامعه اویغورها را تأیید و افشاء کرده، کاری که گوگل آن را انجام نداده است. اما بیانیه اپل به جای تمرکز بر آزار و اذیت مداوم یک اقلیت مذهبی در کشور چین؛ که یکی از بزرگترین بازارهای اپل نیز هست، بیشتر به شکستهای ملموس گوگل در این کشور و همچنین جنگ تجاری مداوم میان آمریکا و چین که مستقیماً بر محصولات این شرکت تأثیرگذار است، توجه دارد.
چندین بار، اپل چیزی را که گوگل گفته است، تحویل گرفته و سپس آن را نادیده انگاشته و یا به حاشیه رانده است.
اپل:
اول اینکه، این یک حمله پیشرفته و بسیار متمرکز بوده است، نه یک بهرهبرداری گسترده از آیفونها. این حمله بر کمتر از ده وبسایت متمرکز شده که این وبسایتها غالباً به محتوای مربوط به جامعه اویغورها (نژادی ساکن در چین) توجه دارند.
گوگل:
در اوایل سال جاری، گروه تحلیل تهدید (TAG)، مجموعه کوچکی از وبسایتهای هک شده را کشف کرد. سایتهای هک شده با استفاده از تکنیک watering hole (نوعی روش هک) گوشیهای آیفون کاربران را مورد حمله قرار میدادند.
در اینجا اپل ادعای اصلی گوگل را تکرار میکند، اما با اتصال آن به خطی در بیانیه گوگل، که در مورد حمله گسترده بحث میکند، بحث را منحرف میسازد. افراد منطقی ممکن است درباره معانی کلمه «حمله گسترده» اختلافنظر داشته باشند، این کلمه میتواند به معنای «یک گروه» و یا «همهباهم» باشد. اما مطمئناً گوگل اطلاعات مربوط به محور این حملات را از بین نبرده است.
اپل:
بیانیه گوگل، شش ماه پس از عرضه بهینهساز iOS، منتشر شد. تصور غلط سوءاستفاده گسترده از کاربران جهت نظارت بر فعالیتهای خصوصی آنها، باعث ایجاد نگرانی در بین همه کاربران آیفون شده است.
گوگل:
کاربران واقعی بر اساس درک عمومی از امنیت این دستگاهها، اقدام به تصمیمگیری در رابطه با ریسک این گوشیها مینمایند. در واقع، اگر مورد هدف قرار بگیرید، تمهیدات امنیتی هرگز نمیتواند خطر حمله را از بین ببرد. مورد هدف قرار گرفتن، ممکن است به معنای متولد شدن در یک منطقه جغرافیایی یا بخشی از یک گروه قومی خاص بودن باشد. کاری که کاربران میتوانند انجام دهند این است که از این واقعیت آگاه باشند که هک گسترده هنوز هم وجود دارد و بر این اساس، هنوز میتواند ایجاد خطر نماید. کاربران باید توجه نمایند که استفاده از دستگاههای تلفن همراه به عنوان یک جزء جداییناپذیر از زندگی مدرن، باعث میشود تا در صورت به خطر افتادن آن، تمامی اطلاعات کاربر در یک پایگاه داده بارگذاری شود و سپس از آن اطلاعات، علیه خود کاربر استفاده شود.
ما نمیتوانیم به این موضوع بپردازیم که آیا این سوء استفادهها، ۱ میلیون دلار، ۲ میلیون دلار یا ۲۰ میلیون دلار هزینه دارند یا خیر. در عوض، حدس میزنیم که تمامی این برچسبهای قیمتی، با توجه به قابلیتهای حملات سایبری در رابطه با زیرنظرگرفتن رفتار جمعیت، زیاد به نظر نمیرسند.
اپل در اینجا نقلقولهای گوگل را به کلی از گردونه خارج میسازد. گوگل در مورد درک خطر و آسیبپذیری ذاتی پردازشهای رایانهای صحبت میکند، که واقعاً جای بحث کردن نیز ندارد. اهالی مانتین ویو همچنین در مورد هدف قرار دادن گسترده اعضای یک اقلیت خاص بحث مینماید. همانطور که میدانیم، اکنون یک اقلیت مذهبی به طور جدی در کشور چین، مورد آزار و اذیت قرار گرفته است. عجیب است که اپل این تفاوتها را نادیده گرفته و نگرانیهای گوگل را به تمامی کاربران آیفون بسط میدهد.
اپل:
دوم اینکه، شواهد نشان میدهد که این حملات سایبری فقط یک دوره کوتاه تقریباً دو ماهه به طول انجامیدهاند، نه دو سال؛ همانطور که گوگل بیان میکند.
گوگل:
تیم TAG اقدام به جمعآوری پنج زنجیره بهرهبرداری جداگانه، کامل و منحصربهفرد از حملات مرتبط با گوشیهای آیفون نموده، که تقریباً نسخههای iOS 10 تا جدیدترین نسخه یعنی iOS 12 را دربر میگیرد. این نشان میدهد که گروهی در تلاش هستند تا کاربران آیفون را در جوامع موردنظر هک نمایند. باید توجه داشت که عرضه این طیف از نسخههای سیستمعامل iOS، حدود دوسال طول کشیده است.
تجزیهوتحلیل اولیه نشان داد که حداقل یکی از زنجیرههای حمله در زمان کشف ما، هنوز مورد استفاده قرار نگرفته بود. ما این موارد را به همراه مهلتی ۷ روزه، در تاریخ ۱۲ بهمن ۱۳۹۷ (۱ فوریه ۲۰۱۹) به اپل گزارش دادیم که این اقدام منجر به انتشار نسخه iOS 12. 1. 4 در تاریخ ۱۸ بهمن ۱۳۹۷ (۷ فوریه ۲۰۱۹) شد. ما همچنین جزئیات کاملی را نیز با شرکت اپل در میان گذاشتیم که در همین تاریخ به صورت عمومی منتشر شدند.
از کجا معلوم است که گوگل درباره حملات دوساله بحث میکند؟ گوگل به صراحت اعلام میدارد که شواهد آنها حاکی از تلاش پایدار گروهی از هکرها در طی این دو سال است، نه اینکه کاربران آیفون در تمام این مدت به خطر افتاده باشند و این شرکت همچنین به اشتراک اطلاعات مرتبط با حفرههای امنیتی با شرکت اپل نیز اشاره دارد. تمایزات سخنان اپل در این جا نیز مشهود است.
گوگل:
هیچ تبعیضی وجود نداشت. هر بازدیدکنندهای که از آن وبسایتها بازدید میکرد، سرورهای هک سعی میکردند تا به دستگاه کاربر موردنظر حمله نمایند و در صورت موفق شدن، یک ابزار نظارتی را بر روی آن دستگاه نصب مینمودند. ما تخمین میزنیم که این وبسایتها در هفته، هزاران بازدیدکننده داشتهاند.
اپل:
صرفنظر از مقیاس حمله، ما امنیت کلیه کاربران خود را بسیار جدی میگیریم.
اپل در اینجا به ما ایده لازم در مورد مقیاس واقعی این حمله را نداده است. حتی به برآورد گوگل که میگوید که ممکن است هزاران بازدیدکننده در هفته مورد حمله قرار گرفته باشند نیز واکنش نشان نمیدهد. حتی اگر این سخنان اپل را که؛ این حملات سایبری فقط دو ماه عملیاتی بودهاند را نیز در نظر بگیریم، بازهم بهطور بالقوه، دهها هزار (یا بیشتر) قربانی به صورت ناخواسته عضو یک جمعیت آسیبپذیر هستند که در حال حاضر مورد هدف یک دولت سرکوبگر قرار گرفتهاند. جمله «ما امنیت کلیه کاربران خود را بسیار جدی میگیریم» امنیت کاربران قربانی را مورد هدف قرار میدهد نه سخنان محققان گوگل که این سوءاستفادهها را کشف نمودهاند.
نظرات