چگونه یک گیمر نوجوان فورتینت توانست باگ بزرگ فیس‌تایم اپل را کشف کند ولی برایش سخت بود آن را گزارش دهد

دیروز آسیب‌پذیری بزرگ اپلیکیشن فیس‌تایم را گزارش دادیم. اپل بالافاصله قابلیت چت ویدیویی گروهی این اپلیکیشن را غیرفعال کرده است تا هفته آینده بسته به‌روزرسانی iOS منتشر شود.

این باگ فیس‌تایم اجازه می‌دهد افراد خودشان یا دیگران را به تماس‌های ویدیویی اضافه کنند و بدون اینکه طرف مقابل جواب دهد، صدای او را بشنوند یا تصویرش را مشاهده کنند. باگ بزرگی که معلوم نیست تا کنون چقدر مورد سوء‌استفاده قرار گرفته و حریم خصوصی کاربران را نقض کرده است.

اما این باگ وحشتناک چگونه کشف شد؟ شاید تصور کنید توسط کاربران خبره امنیت حریم خصوصی؟ اشتباه می‌کنید چون داستان کشف باگ فیس‌تایم بسیار ساده و بر اثر بازیگوشی یک نوجوان عاشق بازی فورتینت کشف شده است.

داستان یک کشف کودکانه

گرانت تامپسون (Grant Thompson)، نوجوان ۱۴ ساله‌ای در توسان آریزونا است. او در تاریخ ۱۹ ژانویه تصمیم می‌گیرد دوستان دیگرش را هم به تماشای بازی فورتینت دعوت کند.

او در برنامه فیس‌تایم، یکی از دوستان‌اش به نام «ناتان» را به فهرست تماس‌های ویدیویی اضافه می‌کند اما ناتان جواب نمی‌دهد. تامپسون نام دوست دیگری را به فهرست تماس ویدیویی اضافه می‌کند ولی در کمال تعجب، در حالی‌که تلفن ناتان هنوز دارد زنگ می‌خورد؛ به او متصل می‌شود و می‌تواند او را ببیند و صدایش را بشنود.

تامپسون می‌گوید در آن لحظه شوکه شده است چون ناتان هنوز جواب نداده بود ولی صدا و تصویرش را می‌دید. او با دیگر دوستان‌اش نیم ساعت این موضوع را بررسی و آزمایش می‌کنند تا بفهمند اتفاقی بوده یا یک ویژگی ناشناخته برنامه فیس‌تایم است.

تامپسون وقتی مطمئن می‌شود این ویژگی در هر زمانی برای همه کاربران جواب می‌دهد؛ کشف خود را با مادرس در میان می‌گذارد. مادر تامپسون یک وکیل و مشاور حقوقی است. او متوجه می‌شود این یک نقض حریم خصوصی است ولی نمی‌تواند باور کند.

مادر تامپسون می‌گوید :«در ناباوری، این ویژگی را روی آیفون خودم آزمایش کردم و دیدم واقعا کار می‌کند.»

بی‌خیالی اپل و دیگر رسانه‌ها

این مادر ۴۳ ساله سعی می‌کند به روش‌های مختلفی به گوش اپل برساند در نرم‌افزار فیس‌تایم یک اشکال بزرگ وجود دارد. مادر تامپسون می‌گوید :«تصورم درباره اپل چیز دیگری بود. فکر می‌کردم آن‌ها پیش از انتشار یک نرم‌افزار، همه آزمایش‌ها و بررسی‌ها را انجام دادند و روشی برای دور زدن نرم‌افزار وجود ندارد. به علاوه، تصور می‌کردم این شرکت سریعا به ایمیل‌ها و تماس‌های من پاسخ دهد و پیگیری کند.»

وقتی این وکیل از جوابگویی اپل ناامید می‌شود؛ ایمیل‌هایی را به رسانه NBC News زده و گزارش می‌دهد در فیس‌تایم چنین اشکالی وجود دارد. در ایمیل‌هایش هم به عدم جواب‌گویی اپلی‌ها اشاره می‌کند و اینکه او را به یک کارشناس دریافت گزارش‌های اشکال اپلیکیشن‌ها وصل کردند و بعد او تصور کرده یک گزارش باگ باونتی (bug bounty program) است و انتظار پاداش در ازای گزارش آن دارد.

مادر تامپسون بعد سراغ توییتر می‌رود و چندین هشتگ درباره این موضوع می‌زند. او به دنبال هشدار دادن به اپل از طریق رسانه‌ها است و از رسانه‌ها می‌خواهد درباره این موضوع اطلاع‌رسانی کنند تا کاربران بیشتری قربانی نشوند.

در این مدت، کارشناسان اپل تماما تصور کردند خانواده تامپسون قصد شرکت در برنامه‌های گزارش باگ‌های باونتی را دارند. لذا، دایما در هر تماسی آن‌ها را به شرکت و ثبت‌نام در این برنامه‌ها برای دریافت جایزه تشویق کردند.

مادر تامپسون در تاریخ ۲۲ ژانویه مجددا نامه رسمی و حقوقی با عنوان «مسئله فوری امنیتی در iOS 12.1.3» برای اپل می‌فرستد که باز هم بی‌جواب باقی می‌ماند.

سختی تشریح فنی یک باگ

وقتی آن‌ها در جلب توجه اپل و رسانه‌ها ناکام باقی می‌مانند؛ از پسرش می‌خواهد یک ویدیو ساخته و در آن اشکال فیس‌تایم را به طور کامل نشان دهد. این ویدیو ساخته شده و در تاریخ ۲۵ ژانویه روی یوتیوب بارگذاری می‌شود.

در توضیحات ویدیو به طور کامل و مفصل این باگ توضیح داده می‌شود. از آن‌جا به بعد سایت‌های NBC News (با توجه به سابقه ایمیل‌های قبلی) و 9to5Mac واکنش نشان داده و شروع به درج گزارش می‌کنند.

احتمالا یافتن این باگ برای اپل گران تمام شود. این شرکت همیشه مدعی بودن بهترین مدافع حریم خصوصی کاربران است و هیچ اشکال بزرگی در نرم‌افزارهایش برای به خطر انداختن امنیت کاربران وجود ندارد.

این شرکت تا چند روز دیگر می‌خواهد گزارش درآمدهای سه ماهه پیشین خود را منتشر کند و باید دید این اتفاق‌ها روی عملکردشان تاثیرگذار است یا خیر!

دو نکته مهمی که نباید فراموش شود

دو نکته اساسی در دل داستان کشف باگ فیس‌تایم پنهان شده است.

نخست، همان‌طور که کارشناسان امنیتی بارها هشدار داده‌اند؛ دستگاه‌هایی که همیشه در دست ما و همراه ما هستند؛ می‌توانند بهترین ابزار جاسوسی و ردگیری باشند. حتی اگر آیفون و نرم‌افزاری ساخت شرکت اپل باشد.

دوم، چرا شرکتی مانند اپل باید پس از یک هفته به درخواست‌های یک مادر توجه کند و متوجه اشکال و باگ بزرگ نرم‌افزارش شود؟ چرا تعداد زیادی از ایمیل‌ها و نامه‌های مادر تامپسون بی‌جواب مانده یا کارشناسان از درک توضیحات آن‌ها درباره یک اشکال عاجز بودند؟

به هر حال، باید از گرانت تامپسون ممنون باشیم که اتفاقی باگ فیس‌تایم را یافت و پس از آن اراده‌ای محکم برای رفع آن داشت؛ به‌طوری‌که اکنون یکی از مهم‌ترین ویژگی‌ این نرم‌افزار بلوکه شده است.

منبع