Укрепление защиты было сделано с помощью очередного — в этом случае самого настоящего — кросс-платформенного обновления для iTunes, получившего номер версии 10.5.1. Как было объявлено, начиная с этой версии программа iTunes, работающая на пользовательском компьютере, теперь станет запрашивать адрес апдейта через безопасное (https) соединение, таким образом блокируя возможные атаки типа «человек посередине».
Чуть ли не единственным, кто сразу обратил внимание на «одну небольшую, но чрезвычайно существенную деталь», умалчиваемую во всех этих публикациях СМИ о компрометации и лечении iTunes, оказался американский журналист Брайен Кребс. В прошлом обозреватель компьютерной безопасности в газете Washington Post, а ныне самостоятельный исследователь, Кребс в своём блоге напомнил публике, что именно об этой опасной уязвимости компанию Apple давным-давно — ещё в середине 2008 года — предупреждал серьёзный эксперт по инфозащите. Однако по совершенно неясным причинам корпорация Apple выжидала свыше 1200 дней, то есть три с лишним года, прежде чем залатать эту дыру.
Данное обстоятельство, считает Кребс, поднимает вполне естественные вопросы относительно того, знали ли в Apple (а если знали, то с каких пор) о вскрывшихся ныне особенностях троянцев, применяемых для шпионажа правительственными органами. Упорное нежелание Apple залатать столь откровенную дыру можно было бы очень просто объяснить тайным сговором с властями, учитывая, что масштабы распространения плеера iTunes по планете уже превышают четверть миллиарда пользователей (рубеж 250 миллионов был зафиксирован в июне 2011).
Брайен Кребс хорошо ориентируется в теме — он сам писал именно об этой уязвимости в Washington Post в июле 2008 по результатам интервью с аргентинским исследователем-хакером Франсиско Амато. Амато тогда создал программу Evilgrade — новый инструмент для тестирования компьютерных систем на предмет стойкости к проникновениям. Особенностью инструментария было то, что он позволял автоматически рассылать подложные извещения о появлении обновлений для тех программ, в которых не применяется цифровая подпись для апдейтов. Степень серьёзности этой угрозы разъяснялась в статье примерно следующим образом.
Представьте себе, что вы находитесь, скажем, в зале аэропорта, ожидая посадки на рейс. Вы раскрываете свой ноутбук, чтобы посмотреть, нельзя ли тут подключиться к открытой беспроводной сети. Следует, однако, иметь в виду, что существует множество свободно доступных средств, позволяющих злоумышленникам создавать ложные точки беспроводного доступа, дабы осуществлять маршрутизацию ваших интернет-соединений через свой компьютер. Вы подсоединяетесь к такой фальшивой сети, полагая, что всего лишь глянете на результаты очередной игры своей любимой команды. Несколько секунд спустя одно из приложений в вашем компьютере сообщает, что вышло новое обновление программы. Вы соответственно даёте добро на установку апдейта. Можно сказать, тут-то вас и отоварили.
Можно, конечно, не одобрять обновление, но и это спасает не всегда. Функции автоапдейта, часто встраиваемые в программы, начинают работать сами и скачивают фальшивое обновление программы в ваш компьютер сразу же, как только о нём узнают. И только потом раз за разом напоминают о наличии апдейта, который можно установить. Вполне вероятно, что ко времени очередного напоминания пользователь уже доберётся до места назначения и никогда не узнает, что апдейт скачивался через скомпрометированную сеть.
Ещё тогда подчёркивалось, что Evilgrade особенно эффективно работает с уязвимостью в механизме апдейтов программы iTunes для Windows. Амато описывал эту уязвимость следующим образом: «iTunes проверяет бинарный код на предмет того, имеет ли он цифровую подпись Apple. Однако вредоносный контент можно встраивать в описание, открывающее браузер, — так что пользователь полагает, будто апдейт пришёл от Apple».
Известно, что Франсиско Амато в июле 2008 года обращался непосредственно к команде обеспечения безопасности в продукции Apple, чтобы предупредить о выявленной дыре.
По свидетельству Амато, вскоре после этого контакта из Apple подтвердили факт получения его отчёта. Но затем никаких вестей от них не было более трёх лет — вплоть до 28 октября 2011, когда от Apple пришло ещё одно электронное письмо с просьбой подтвердить имя и реквизиты, чтобы надлежащим образом сослаться на его работу при сообщении о залатанной уязвимости в новом апдейте под номером iTunes 10.5.1. В своём блоге Кребс отмечает то, как долго в Apple тянули с «заплаткой».