2016/06/22

Apple lançou iOS 10 sem kernel encriptado - erro básico ou nova aposta na segurança?


Os especialistas de segurança que olharam para o kernel do novo iOS 10 estão surpreendidos por aquilo que encontraram, ao contrário de todas as anteriores versões o kernel da versão do iOS 10 para os developers não está encriptado, facilitando a descoberta de falhas e vulnerabilidades que podem deixar o sistema em risco.

Sem encriptação o kernel do iOS 10 torna-se num autêntico "livro aberto" para hackers, facilitando imensamente o "reverse engineering" do mesmo e a sua análise para descobrir potenciais falhas. A grande dúvida é se isto representa um inacreditável lapso da Apple, ou se terá sido feito de forma propositada.

É que ao disponibilizar o iOS 10 "aberto", a Apple não só facilita o trabalho a hackers com más intenções e à comunidade de jailbreak (que muito apreciará esta ajuda), como também expõe o seu código ao mundo, permitindo que muitos mais investigadores e simples curiosos possam espreitar cada byte do código e ajudar a detectar essas mesmas vulnerabilidades - no fundo, tendo quase as vantagens de um projecto open-source com o código aberto para que todos o possam ver.

Embora possa ser considerada uma manobra um pouco radical (e ainda carecendo da confirmação oficial da Apple sobre se terá sido mesmo essa a sua intenção), é uma opção que a maioria dos investigadores está inclinada para considerar como sendo a mais provável; pois de outro modo, teria sido um erro de tal dimensão, que para sempre ficaria na história dos "grandes erros" da informática.


Actualização: a Apple diz que tal foi feito deliberadamente, como forma de melhorar o desempenho e uma vez que não põe em risco os dados dos utilizadores.

5 comentários:

  1. aponto mais para um erro colossal.

    ResponderEliminar
    Respostas
    1. a Apple não erra ...

      Eliminar
    2. Um erro colossal?

      A kernel do Windows, Linux/Android, não é encriptada, então é um erro colossal?

      Eliminar
  2. Se quisesse "ajuda" disponibilizaria as sources. Agora simplesmente disponibilizar o kernel desencriptado, obrigando que se faça reverse engineering, só quem quiser MESMO muito é que se mete em tais aventuras. E nestes cenários, a historia mostra que os fins ilícitos são muito mais motivadores.

    ResponderEliminar