چگونه یک گیمر نوجوان فورتینت توانست باگ بزرگ فیستایم اپل را کشف کند ولی برایش سخت بود آن را گزارش دهد

دیروز آسیبپذیری بزرگ اپلیکیشن فیستایم را گزارش دادیم. اپل بالافاصله قابلیت چت ویدیویی گروهی این اپلیکیشن را غیرفعال کرده است تا هفته آینده بسته بهروزرسانی iOS منتشر شود.
این باگ فیستایم اجازه میدهد افراد خودشان یا دیگران را به تماسهای ویدیویی اضافه کنند و بدون اینکه طرف مقابل جواب دهد، صدای او را بشنوند یا تصویرش را مشاهده کنند. باگ بزرگی که معلوم نیست تا کنون چقدر مورد سوءاستفاده قرار گرفته و حریم خصوصی کاربران را نقض کرده است.
اما این باگ وحشتناک چگونه کشف شد؟ شاید تصور کنید توسط کاربران خبره امنیت حریم خصوصی؟ اشتباه میکنید چون داستان کشف باگ فیستایم بسیار ساده و بر اثر بازیگوشی یک نوجوان عاشق بازی فورتینت کشف شده است.
داستان یک کشف کودکانه
گرانت تامپسون (Grant Thompson)، نوجوان ۱۴ سالهای در توسان آریزونا است. او در تاریخ ۱۹ ژانویه تصمیم میگیرد دوستان دیگرش را هم به تماشای بازی فورتینت دعوت کند.
او در برنامه فیستایم، یکی از دوستاناش به نام «ناتان» را به فهرست تماسهای ویدیویی اضافه میکند اما ناتان جواب نمیدهد. تامپسون نام دوست دیگری را به فهرست تماس ویدیویی اضافه میکند ولی در کمال تعجب، در حالیکه تلفن ناتان هنوز دارد زنگ میخورد؛ به او متصل میشود و میتواند او را ببیند و صدایش را بشنود.
تامپسون میگوید در آن لحظه شوکه شده است چون ناتان هنوز جواب نداده بود ولی صدا و تصویرش را میدید. او با دیگر دوستاناش نیم ساعت این موضوع را بررسی و آزمایش میکنند تا بفهمند اتفاقی بوده یا یک ویژگی ناشناخته برنامه فیستایم است.
تامپسون وقتی مطمئن میشود این ویژگی در هر زمانی برای همه کاربران جواب میدهد؛ کشف خود را با مادرس در میان میگذارد. مادر تامپسون یک وکیل و مشاور حقوقی است. او متوجه میشود این یک نقض حریم خصوصی است ولی نمیتواند باور کند.
مادر تامپسون میگوید :«در ناباوری، این ویژگی را روی آیفون خودم آزمایش کردم و دیدم واقعا کار میکند.»
بیخیالی اپل و دیگر رسانهها
این مادر ۴۳ ساله سعی میکند به روشهای مختلفی به گوش اپل برساند در نرمافزار فیستایم یک اشکال بزرگ وجود دارد. مادر تامپسون میگوید :«تصورم درباره اپل چیز دیگری بود. فکر میکردم آنها پیش از انتشار یک نرمافزار، همه آزمایشها و بررسیها را انجام دادند و روشی برای دور زدن نرمافزار وجود ندارد. به علاوه، تصور میکردم این شرکت سریعا به ایمیلها و تماسهای من پاسخ دهد و پیگیری کند.»
وقتی این وکیل از جوابگویی اپل ناامید میشود؛ ایمیلهایی را به رسانه NBC News زده و گزارش میدهد در فیستایم چنین اشکالی وجود دارد. در ایمیلهایش هم به عدم جوابگویی اپلیها اشاره میکند و اینکه او را به یک کارشناس دریافت گزارشهای اشکال اپلیکیشنها وصل کردند و بعد او تصور کرده یک گزارش باگ باونتی (bug bounty program) است و انتظار پاداش در ازای گزارش آن دارد.
مادر تامپسون بعد سراغ توییتر میرود و چندین هشتگ درباره این موضوع میزند. او به دنبال هشدار دادن به اپل از طریق رسانهها است و از رسانهها میخواهد درباره این موضوع اطلاعرسانی کنند تا کاربران بیشتری قربانی نشوند.
در این مدت، کارشناسان اپل تماما تصور کردند خانواده تامپسون قصد شرکت در برنامههای گزارش باگهای باونتی را دارند. لذا، دایما در هر تماسی آنها را به شرکت و ثبتنام در این برنامهها برای دریافت جایزه تشویق کردند.
مادر تامپسون در تاریخ ۲۲ ژانویه مجددا نامه رسمی و حقوقی با عنوان «مسئله فوری امنیتی در iOS 12.1.3» برای اپل میفرستد که باز هم بیجواب باقی میماند.
سختی تشریح فنی یک باگ
وقتی آنها در جلب توجه اپل و رسانهها ناکام باقی میمانند؛ از پسرش میخواهد یک ویدیو ساخته و در آن اشکال فیستایم را به طور کامل نشان دهد. این ویدیو ساخته شده و در تاریخ ۲۵ ژانویه روی یوتیوب بارگذاری میشود.
در توضیحات ویدیو به طور کامل و مفصل این باگ توضیح داده میشود. از آنجا به بعد سایتهای NBC News (با توجه به سابقه ایمیلهای قبلی) و 9to5Mac واکنش نشان داده و شروع به درج گزارش میکنند.
احتمالا یافتن این باگ برای اپل گران تمام شود. این شرکت همیشه مدعی بودن بهترین مدافع حریم خصوصی کاربران است و هیچ اشکال بزرگی در نرمافزارهایش برای به خطر انداختن امنیت کاربران وجود ندارد.
این شرکت تا چند روز دیگر میخواهد گزارش درآمدهای سه ماهه پیشین خود را منتشر کند و باید دید این اتفاقها روی عملکردشان تاثیرگذار است یا خیر!
دو نکته مهمی که نباید فراموش شود
دو نکته اساسی در دل داستان کشف باگ فیستایم پنهان شده است.
نخست، همانطور که کارشناسان امنیتی بارها هشدار دادهاند؛ دستگاههایی که همیشه در دست ما و همراه ما هستند؛ میتوانند بهترین ابزار جاسوسی و ردگیری باشند. حتی اگر آیفون و نرمافزاری ساخت شرکت اپل باشد.
دوم، چرا شرکتی مانند اپل باید پس از یک هفته به درخواستهای یک مادر توجه کند و متوجه اشکال و باگ بزرگ نرمافزارش شود؟ چرا تعداد زیادی از ایمیلها و نامههای مادر تامپسون بیجواب مانده یا کارشناسان از درک توضیحات آنها درباره یک اشکال عاجز بودند؟
به هر حال، باید از گرانت تامپسون ممنون باشیم که اتفاقی باگ فیستایم را یافت و پس از آن ارادهای محکم برای رفع آن داشت؛ بهطوریکه اکنون یکی از مهمترین ویژگی این نرمافزار بلوکه شده است.
این نوشتهها را هم بخوانید