Выход превью iOS 10 изрядно удивил разработчиков и специалистов по безопасности, так как оказалось, что ядро операционной системы незашифровано. Пока в сети разгоралась полемика, компания Apple подтвердила, что никакой ошибки здесь нет, и ядро намеренно оставлено в открытом виде.
Apple можно назвать одной из наиболее «закрытых» компаний, когда речь заходит о разработке приложений и системных компонентов. Ядро всех предыдущих версий iOS всегда подвергалось обфускации через шифрование, что осложняло работу разработчикам и исследователям.
Теперь Apple решила оставить подобную практику в прошлом. Представители компании сообщили изданию TechCrunch, что ядро лишили шифрования намеренно:
«Кеш ядра не содержит каких-либо пользовательских данных, лишив его шифрования, мы смогли оптимизировать производительность операционной системы, не ухудшая ее безопасности».
Поступок компании уже породил множество обсуждений. Так, эксперты задаются вопросом: если отсутствие шифрования ядра не влияет на безопасность, зачем же Apple шифровала его все эти годы? Некоторые исследователи также считают, что отсутствие шифрования существенно повышает шансы на создание джейлбрейка для iOS 10. Другие пишут, что таким образом компания пытается «помочь» специалистам по безопасности, которые теперь смогут заглянуть в код, который лежит в сердце iPhone и iPad.
Известный специалист по безопасности iOS Джонатан Здзиарски (Jonathan Zdziarski) уверен, что снятие шифрования с кода ядра поможет найти и исправить больше багов в iOS:
«Открытие операционной системы, когда все получат возможность видеть столько же, сколько обычно видят продвинутые и хорошо финансируемые команды исследователей, может помочь другим специалистам найти и зарепортить больше багов», — пояснил Здзиарски изданию Technology Review.
Уязвимости в iOS действительно ценятся дороже других, в частности потому что находить их куда сложнее. К примеру, в 2015 году компания Zerodium выплатила неизвестной группе исследователей миллион долларов за то, что они сумели обнаружить 0-day в iOS 9 и предоставили эксплоит для проблемы. Хотя это была разовая акция, Zerodium покупает уязвимости в iOS и на повседневной основе, предлагая за них до $500 000.
