Будинки Securitywatch Os x yosemite, ios 8: катастрофи безпеки, які чекають, що трапляться?

Os x yosemite, ios 8: катастрофи безпеки, які чекають, що трапляться?

Відео: How to Mirror and Record Your iPad or iPhone to your Mac (Листопад 2024)

Відео: How to Mirror and Record Your iPad or iPhone to your Mac (Листопад 2024)
Anonim

Як завжди, Всесвітня конференція розробників Apple наповнена новими можливостями та технологіями. Але ці самі цікаві функції постають з великою кількістю питань щодо конфіденційності користувачів та безпеки даних. Деякі з них ми розпаковуємо тут, на Security Watch .

На цьому тижні Apple представила довгий список нових функцій та технологій для своїх операційних систем OS X Yosemite та iOS 8 на WWDC. Орієнтація на безперервність або безперебійну інтеграцію між користувачами OS X та iOS може бути проблематичною для організацій та користувачів, запропонував Річард Хендерсон, стратег із безпеки в лабораторіях FortinGuard Threat Research and Response Labs.

Хендерсон позначив наступний рядок із основного повідомлення WWDC: "Виявляється, коли ви працюєте на своєму Mac, пристрої навколо вас знають один одного і знають, що ви маєте на меті". Це речення "повинно викликати занепокоєння більшості користувачів із безпеки, " сказав Хендерсон.

Чи можуть співробітники, діти чи значні особи на пристроях iOS "навколо себе" бачити "що ви маєте на увазі?" - спитав Гендерсон. "Можливості беззвучного моніторингу існують, якщо це так".

Тому, хоча припустити, що Apple вклала безпеку в ці нові функції, заздалегідь врахуйте наслідки для безпеки та конфіденційності. Певний скептицизм до безпеки необхідний для тих, хто думає про участь у публічній бета-програмі.

Безперервність є приємною, але куди мої дані збираються?

Хандофф, функція, яка дозволяє користувачам почати працювати над чимось на iPad і підбирати саме там, де вони зупинилися на Mac, може виявитися найкращим, що трапиться в екосистемі Apple з часу первинного дебюту iPhone. Хоча чудово, що ваш пристрій iOS вже не острів, найбільше питання безпеки зводиться до того, як саме Apple передаватиме інформацію між машинами.

Можливо, ця функція буде обмежена машинами, підключеними до однієї мережі. В іншому випадку здається розумним припустити, що інформація про передачу даних тимчасово зберігається в iCloud Drive, сказав Хендерсон. Це припущення призводить до цілого ряду інших запитань, наприклад, як передача даних, чи Apple шифрує дані, що зберігаються на серверах iCloud, і чи Apple може бути змушена передавати інформацію, стикаючись з Листом про національну безпеку або ухвалою суду .

Ідеальним сценарієм було б, якби Apple використовувала шифрування для кінця в кінці для Handoff, оскільки пристрої могли генерувати приватні та відкриті ключі при налаштуванні всього вперше, сказав Хендерсон. "Не має значення, чи були пристрої локальними один для одного чи ні - просто зашифруйте ці дані за допомогою вашого відкритого ключа, відправте їх на сервери iCloud Drive, а ваш інший пристрій перетягне їх і розшифрує за допомогою створеного раніше приватного ключ ", - сказав він.

Точкові точки без пароля можна зловживати

Apple зробила Instant Hotspot ще простішим для користувачів iOS 8, які хочуть ділитися з’єднаннями з Інтернетом. Клацніть на пристрої, і вуаля! Підключення до інтернету. "(Y) ніколи не вводите пароль, і ви легко працюєте в мережі", зазначають у Apple.

Але, можливо, процес занадто простий, попередив Хендерсон. Якщо миттєва гаряча точка працює, навіть якщо телефон "сидить у сумочці з іншого боку кімнати", це може бути проблематично для користувачів у громадських приміщеннях, таких як аеропорт чи місцева кав'ярня, - сказав він. З одного боку, кожен, хто може бачити та підключатись до телефону, може перекрити пропускну здатність. З іншого боку, помістити все це за обліковим записом iCloud для безпеки означає, що лише пристрої, що мають автентифікацію на iCloud та Apple, можуть скористатися функцією гарячої точки. Це не зовсім так, як люди зазвичай використовують гарячі точки.

"Знаючи Apple, це буде надзвичайно просто налаштувати це для менш" кваліфікованих "користувачів, тобто потенціал для зловживань з боку тих, хто знає, може існувати", - сказав Хендерсон. "Треба буде іншим способом (як поточна функція iOS Mobile Hotspot) встановити точку доступу, яку ви, власне, хочете використовувати інші."

Дані про здоров'я та конфіденційність

HealthKit та Health.app - це, мабуть, найбільше оголошення з точки зору конфіденційності, - зазначив Хендерсон, зазначивши, що дані у трекерах активності, таких як Fitbit, додатках, що контролюють серцевий ритм, артеріальний тиск та рівень глюкози в крові, і "розумні" ваги вже збираються. багато даних. "Законодавство про HIPAA та інше законодавство про охорону здоров'я може бути величезним болотистим багромним … як Apple спеціально захищає вашу інформацію?" запитав він.

Екран ідентифікатора надзвичайних ситуацій зі здоров’ям, до якого можна отримати доступ із блокувального екрану, може бути потенційно рятівним, але ним також можна зловживати. "Що заважає комусь забрати телефон і визначити, які ліки ви приймаєте? Подумайте про наслідки для конфіденційності, коли мова йде про когось із серйозними хронічними захворюваннями, такими як ВІЛ / СНІД, рак, діабет чи будь-яке інше серйозне захворювання, яке ви можете не хочу, щоб про це знали інші », - сказав Хендерсон.

Хто має дані прожектора?

Прожектор як на OS X Yosemite, так і на iOS 8 отримає дані з різних джерел, таких як Вікіпедія, Карти, огляди Yelp та статті новин. Користувачі повинні задаватися питанням, де зберігаються дані Spotlight, локально чи на серверах iCloud, щоб інші пристрої могли отримати доступ до даних. Якщо Apple створює профілі активності клієнтів, подібні до того, що робить Google, варто запитати, чи можуть користувачі можуть попросити Apple видалити цей профіль, коли вони покинуть екосистему Apple.

"Нещодавні юридичні головні зусилля Google в ЄС, пов'язані з громадянами ЄС, і" право бути забутим ", повинні стати прихильником для Apple та інших компаній, які ведуть бізнес у ЄС", - заявила Хендерсон.

Також варто розглянути, як Apple представляє пошукові запити Spotlight на сторонніх сайтах. "Хоча ця інформація виглядає не так вже й приватною, треті сторони збирають дані з безлічі джерел і перехресно посилаються на них для створення комплексних профілів користувачів", - попередив Хендерсон.

Ознайомтеся з повним списком

Хендерсон окреслив довгий список питань безпеки, торкнувшись нової функції розмітки в Mail.app, SMS та текстових повідомленнях, HomeKit, Обміні сімейним доступом та багато іншого. Варто перевірити публікацію в повному обсязі в блозі Fortinet.

"На відміну від Apple, вони пройшли довгий шлях безпеки, принаймні, якщо мова йде про надання більшої інформації людям", - сказав Хендерсон. "Я сподіваюся, що Apple відводила безпеку головне місце в розробці всіх цих нових інструментів і функцій".

Os x yosemite, ios 8: катастрофи безпеки, які чекають, що трапляться?