Dzięki sukcesowi urządzeń Apple iOS i sklepu muzycznego iTunes zainstalowane jest oprogramowanie iTunes firmy na ponad 250 milionach komputerów Mac i PC na całym świecie, co czyni go jednym z najpopularniejszych dostępnych odtwarzaczy multimedialnych. Być może nie był tak popularny, gdyby użytkownicy wiedzieli, że zawiera lukę w zabezpieczeniach, która pozwala rządowym agencjom wywiadowczym i policji na ich monitorowanie.
Brytyjska firma Gamma International wcześniej sprzedawała rządom oprogramowanie o nazwie FinFisher. Oprogramowanie wykorzystywało exploita iTunes i pozwalało osobom posiadającym oprogramowanie na szpiegowanie tych, którzy korzystali z oprogramowania.
Najbardziej niepokojące jest to, że Apple rzekomo dowiedział się o luce w 2008 roku, według Briana Krebsa, pisarza zajmującego się bezpieczeństwem. Ale firma nic z tym nie zrobiła, aż do początku tego miesiąca, kiedy wydała iTunes 10.5.1 — pozostawiając exploita otwartego na ponad trzy lata.
Krebs ujawniony w wpis na blogu:
Znany badacz bezpieczeństwa ostrzegł Apple o tej niebezpiecznej luce w połowie 2008 roku, jednak firma czekała ponad 1200 dni, aby naprawić usterkę.
Ujawnienie nasuwa pytania o to, czy i kiedy Apple wiedziało o ofercie trojana oraz kiedy zdecydował się na zaszycie luki w zabezpieczeniach w tym wszechobecnym tytule oprogramowania.
Krebs donosi, że usunięcie luk w zabezpieczeniach oprogramowania po ich wykryciu zajmuje Apple średnio 91 dni.
„Może zapomnieli o tym, albo znajdowało się na samym dole ich listy rzeczy do zrobienia” – powiedział Francisco Amato, argentyński badacz bezpieczeństwa, który zaalarmował Apple o tym problemie.
Jednak Apple utrzymuje, że poważnie traktuje kwestie bezpieczeństwa. W odpowiedzi na twierdzenia, że oprogramowanie FinFisher jest skierowane do użytkowników iTunes, firma powiedziała, że działa „w celu znalezienia i rozwiązać każdy problem, który mógłby zagrozić systemom” oraz że „bezpieczeństwo i prywatność naszych użytkowników są niezwykle ważny."
Gamma International, firma specjalizująca się w sprzedaży usług hakerskich rządom, postanowiła nie komentować tej sprawy.
[przez Telegraf]