Специалисты, которые занимаются поиском ошибок и уязвимостей в программном обеспечении Apple, боятся использовать продукты Corellium для эмуляции iOS из-за юридической тяжбы двух компаний. Многие эксперты опасаются преследования со стороны Apple за лояльное отношение к Corellium.
В прошлом году Apple обвинила стартап, специализирующийся на разработке софта для исследований в сфере кибербезопасности, в нарушении авторских прав корпорации: Corellium разработала ПО, которое позволяет создавать виртуальные копии iPhone, чтобы исследовать потенциальные уязвимости iOS.
«Corellium выдаёт себя за исследовательский инструмент для тех, кто пытается обнаружить уязвимости безопасности и другие недостатки в программном обеспечении Apple, однако истинная цель компании — извлечь выгоду из своих вопиющих нарушений [интеллектуальной собственности], — заявила Apple в иске. — Corellium призывает пользователей продавать любую обнаруженную уязвимость на открытом рынке тому, кто предложит максимальную цену».
Уже тогда многие называли иск против Corellium «опасным», так как он определит, как в дальнейшем специалисты по информационной безопасности будут использовать код Apple. Как пишет Motherboard, опасения оправдались. Судебный процесс уже сказывается негативно на сообществе информационной безопасности: число экспертов, которые открыто используют ПО Corellium, уменьшилось.
«Из-за Apple специалисты охладели к Corellium, — отметил в анонимном комментарии Motherboard исследователь в области информационной безопасности, знакомый с продуктом Corellium. — Мне кажется, что людей, которые высказываются в пользу Corellium, может ждать возмездие».
Его опасения разделили ещё несколько специалистов, с которыми беседовала Motherboard. В анонимных комментариях они указывают, что теперь им придётся предварительно изучить вопрос использования ПО Corellium, так как Apple так или иначе будет вовлечена в процесс. Три других исследователя, которые специализируются на поиске уязвимостей в ПО Apple, отказались дать комментарии, сославшись на риск неких санкций со стороны корпорации. Иван Родригес, исследователь информационной безопасности, который ранее использовал ПО Corellium бесплатно, заявил Motherboard, что ему придется проконсультироваться с юристом, если он захочет приобрести продукт.
В непростой ситуации из-за использования ПО Corellium уже оказалась финансово-кредитная компания Santander Bank, подразделение испанской Grupo Santander, а также компания L3Harris, которая занимается производством военного оборудования и предоставляет информационные услуги. В январе Apple подала в суд на Santander Bank и Azimuth Security, дочернюю компанию L3Harris Technologies, сумма иска — $50 млрд. Корпорация, владея, по всей видимости, сведениями о том, что специалисты обеих компаний используют ПО Corellium, требует, чтобы фирмы предоставили ей подробные данные обо всех переписках с Corellium, подробности о том, как именно используется технология виртуализации iPhone, все внутренние сообщения о применении этой технологии, копии контрактов и всю имеющуюся у них информацию о соучредителе стартапа Крисе Уэйде.
Марк Дауд, основатель Azimuth Security, которая специализируется на разработке хакерских инструментов для использования правительствами, заявил после иска, что из-за тяжбы больше не может комментировать работу ПО Corellium.
Apple подала иск против Corellium летом 2019 года. Apple обвинила стартап в «незаконной продаже виртуальных копий операционных систем iPhone и iPad под видом помощи в обнаружении уязвимостей безопасности». В январе 2020 года Apple расширила судебный процесс против Corellium. В новом иске корпорация утверждает, что действия стартапа обеспечивают джейлбрейк и нарушают запрет Закона о защите авторских прав в цифровую эпоху (DMCA) на обход систем защиты авторских прав. Apple утверждает, что «цель этого судебного процесса не в том, чтобы затормозить добросовестные исследования в области информационной безопасности, а в том, чтобы положить конец незаконной коммерциализации компанией Corellium работ Apple, защищенных авторским правом».
Кроме того, в апреле Apple направила письмо на имя Криса Уэйда, основателя Corellium, потребовав у него предоставить всю информацию, касающуюся использования dev-fused iPhone. Как поясняет Motherboard, dev-fused iPhone, или iPhone-прототипы, представляют собой устройства Apple на ранних стадиях разработки, которые проще взламывать и анализировать, поскольку у них отключены некоторые функции безопасности. Эти iPhone «предназначены только для внутреннего тестирования Apple», утверждают юристы корпорации. По слухам, Уэйд приобрёл несколько таких устройств, однако сам Уэйд опровергает эту информацию.
Corellium не согласна с доводами Apple.
«Этот судебный процесс представляет собой существенную угрозу для открытой и здоровой работы сообщества исследователей информационной безопасности. Apple использует свой иск против Corellium, чтобы сохранить и расширить своё доминирующее положение, пытаясь оставить за собой право указывать, кому и как проводить исследования», — заявляют юристы компании.
Evengard
А есть где-то в свободном доступе эта самая их виртуальная машина?