В конце января компания Apple сообщила, что в приложении для звонков FaceTime обнаружена критическая ошибка. С ее помощью можно подслушивать чужие разговоры. Как оказалось, баг обнаружили абсолютно случайно.
В октябре прошлого года при обновлении iOS 12.1 владельцы iPhone получили возможность организовывать групповые видеозвонки через FaceTime, в которых одновременно могут участвовать до 32 человек. Выявленная в приложении ошибка позволила пользователям подслушивать и даже подсматривать за собеседником даже до того, как он ответит на звонок.
Начать «прослушку» через FaceTime оказалось проще простого. Для этого нужно во время звонка, прежде чем абонент ответит, провести пальцем снизу вверх по экрану, нажать «Добавить собеседника» и вписать свой номер как еще одного собеседника. После этого FaceTime превращает обычный вызов в групповой звонок, начиная записывать звук с устройства абонента, даже если он не принял вызов.
В Apple заявили, что уже в курсе проблемы и обещали исправить ее в ближайшее время, временно отключив возможность групповых звонков.
Но о шпионском баге никто мог бы и не узнать, если бы не подросток из Аризоны, который просто хотел поиграть с друзьями в Fortnite и поболтать с ними в групповом чате.
14-летний школьник Грант Томпсон позвонил своему другу Натану, используя FaceTime, но абонент был «занят». Тогда Грант добавил еще одного друга, но тут понял, что телефон Натана тоже слышно.
Сначала мы были в шоке, потому что он все еще разговаривал с кем-то по телефону, — рассказывал Грант NBC. — После этого мы проверили метод еще несколько раз в течение получаса, чтобы посмотреть, работает ли он постоянно.
Подросток рассказал об открытии своей матери Мишель, работающей адвокатом. Женщина сперва не поверила Гранту, пока он не показал уязвимость FaceTime на ее собственном телефоне. Тогда Мишель и Грант решили предупредить о баге компанию Apple, но это оказалось сделать совсем непросто.
Целую неделю они пытались всеми способами связаться с техподдержкой, но никто им не отвечал. Попытки отправить ошибку через баг-репорт тоже не принесли результатов. Семья пыталась достучаться до корпорации через «Твиттер», но и там представители компании никак не отреагировали.
Мишель попробовала сообщить об ошибке на сайте, который выплачивает хорошее вознаграждение людям, находящим баги в различных системах безопасности. Но для этого нужно было зарегистрироваться в качестве разработчика, для чего женщине не хватило знаний.
Тогда Мишель использовала знания юриста и по старинке отправила в офис компании бумажное письмо на своем фирменном бланке с пометкой «Срочный вопрос безопасности iOS 12.1.3», но и на это письмо никто не ответил. После всех неудач семья решила использовать последнюю соломинку. Мишель и Грант сняли видео, в котором подробно рассказали про ошибку, и выложили его на YouTube.
Вскоре после этого новость об ошибке опубликовало издание 9to5Mac. Правда, автор статьи уверяет, что написал ее раньше, чем увидел в соцсетях призывы подростка из Аризоны. Когда информация о баге попала в СМИ, ее пришлось признать и в Apple, хотя имя Гранта они также не упомянули.
Генеральный директор консалтинговой службы по кибербезопасности Fortalice Solutions и бывший директор по информационным технологиям Белого дома Тереза Пэтон, комментируя эту ситуацию, заявила, что для Apple она должна стать показательной. По словам эксперта, компании стоит понять, что нужно внимательнее прислушиваться к своим пользователям и внимательно разобрать историю с багом в FaceTime, чтобы понять, где что-то пошло не так в коммуникациях с клиентами.
Тем временем семья из Аризоны сообщает, что Apple так никак и не отреагировала на их баг-репорты. Впрочем, они не в обиде и говорят, что продолжат пользоваться продукцией компании. Хотя, конечно, их и «беспокоит» то, что произошло. Но не отношение корпорации к клиентам, а конкретно вопрос безопасности их программ.
