Разработчики из компании Olimex, известные достаточно открытой политикой разработки своих устройств, опубликовали в своем блоге любопытную ссылку на исследование, показывающее почему проприетарное программное обеспечение может представлять из себя большую проблему. В исследовании (PDF) указывается на многочисленные «оплошности», которые судя по всему оставлены не случайно.
Некоторые интересные моменты из доклада:
- Apple контролирует пользовательские устройства и может получить по своему усмотрению самую разную информацию с пользовательского устройства. В общем случае это может происходить без какого либо показа пользователю уведомлений и без запроса согласия пользователя.
- Возможно с относительно небольшими усилиями запустить на устройстве произвольные фоновые сервисы, дающие доступ к самым разнообразным данным по сети. Аутентификацию необходимую для запуска сервисов не слишком сложно перехватить незаметными для пользователя методами.
- В устройствах Apple зачем-то по умолчанию поставляется библиотека libpcap и сервис, позволяющий перехватывать все сетевые пакеты.
- Ряд сервисов предоставляет сетевой доступ к пользовательским данным на низком уровне, позволяя организовать очень подробное изучение самой разной информации, даже «удаленной» пользователем — как известно, базы данных и файловые системы не производят физическое удаление стираемых данных, что может быть использовано хакерами или правительственными структурами для восстановления «удаленных» данных.
- Большинство пользовательской информации никак не шифруется. А то что защищено шифрованием, как правило использует слабый PIN-код, который может быть подобран за обозримое время. Более того, Apple может восстановить данные с предоставленного им устройства, невзирая на PIN-код.
- Существуют методы обхода PIN-кода заблокированного устройства, в том числе и, судя по всему, преднамеренно оставленные.
- Сканер отпечатка пальцев никак не используется для улучшения защиты пользовательских данных. Сканер не слишком сложно обмануть, подсунув ему ненастоящий отпечаток. Более того, в программном обеспечении предусмотрен обход сканера отпечатков, в том числе и не требующий какого либо подтверждения пользователя. В целом это сводит пользу от сканера отпечатков пальцев к нулю.
- Наиболее интересно, что все сервисы подобного плана дают низкоуровневый доступ к данным в форматах которые никак и нигде не используются программным обеспечением Apple или разработчиками. Поэтому существование данных сервисов никак не может быть объяснено отладкой, забытым кодом и т.п. — исследователь делает вывод что это весьма большой комплекс преднамеренно оставленных бэкдоров.