Os x yosemite, ios 8: ожидаются катастрофы безопасности?

Как всегда, всемирная конференция разработчиков Apple наполнена новыми функциями и технологиями. Но эти самые интересные функции сопровождаются множеством вопросов о конфиденциальности пользователей и безопасности данных. Мы распаковываем некоторые из них здесь, на страже безопасности .

На этой неделе Apple представила длинный список новых функций и технологий для своих операционных систем OS X Yosemite и iOS 8. Ричард Хендерсон, специалист по безопасности в лаборатории исследования и анализа угроз FortiGuard FortiGuard, специализируется на проблемах обеспечения непрерывности или плавной интеграции между пользовательским интерфейсом OS X и iOS.

Хендерсон пометил следующую строку из основного доклада WWDC: «Оказывается, теперь, когда вы работаете на своем Mac, устройства вокруг вас… осведомлены друг о друге и знают, что вы делаете». По словам Хендерсона, это предложение «должно вызвать большую обеспокоенность у большинства пользователей, которые заботятся о безопасности».

Могут ли коллеги, дети или другие важные люди с iOS-устройствами «вокруг вас» увидеть, «что вы делаете?» спросил Хендерсон. «Возможности для бесшумного мониторинга существуют, если это так».

Поэтому, хотя соблазнительно предположить, что Apple внедрила безопасность в эти новые функции, подумайте заранее о последствиях для безопасности и конфиденциальности. Некоторый скептицизм в отношении безопасности необходим для всех, кто задумывается об участии в публичной бета-программе.

Непрерывность хороша, но куда идут мои данные?

Handoff, функция, которая позволяет пользователям начать работать над чем-то на iPad и точно узнать, где они остановились на Mac, может оказаться лучшей вещью в экосистеме Apple с момента первого дебюта iPhone. Хотя замечательно, что ваше устройство iOS больше не является островом, самый большой вопрос безопасности сводится к тому, как именно Apple будет передавать информацию между компьютерами.

Возможно, эта функция будет ограничена компьютерами, подключенными к одной сети. В противном случае представляется разумным предположить, что информация о передаче обслуживания временно хранится в iCloud Drive, сказал Хендерсон. Это предположение приводит к целому ряду других вопросов, таких как, как данные передаются, шифрует ли Apple данные, хранящиеся на серверах iCloud, и может ли Apple быть вынуждена передавать информацию, когда сталкивается с письмом о национальной безопасности или постановлением суда., Идеальным сценарием было бы, если бы Apple использовала сквозное шифрование для Handoff, поскольку устройства могли генерировать закрытый и открытый ключи при первоначальной настройке всего, сказал Хендерсон. «Не имеет значения, были ли устройства локальными друг для друга или нет - просто зашифруйте эти данные с помощью вашего открытого ключа, отправьте их на серверы iCloud Drive, а ваше другое устройство извлекает их и дешифрует с использованием ранее созданного частного ключ ", сказал он.

Горячие точки без пароля могут быть использованы

Apple сделала Instant Hotspot еще проще для пользователей iOS 8, которые хотят делиться интернет-соединениями. Нажмите на устройство, и вуаля! Интернет-соединение. «(Y) Вы никогда не вводите пароль, и вы легко в сети», - утверждает Apple.

Но, возможно, процесс слишком прост, предупредил Хендерсон. Если Instant Hotspot работает, даже если телефон «сидит в сумочке с другой стороны комнаты», это может быть проблематично для пользователей в общественных местах, таких как аэропорт или местное кафе, сказал он. С одной стороны, любой, кто может видеть и подключаться к телефону, может получить кражу пропускной способности. С другой стороны, хранение всего этого за учетной записью iCloud для обеспечения безопасности означает, что только устройства, прошедшие проверку подлинности с помощью iCloud и Apple, могут воспользоваться функцией горячей точки. Это не совсем то, как люди обычно используют горячие точки.

«Зная Apple, это будет невероятно легко настроить для менее« опытных »пользователей, а это означает, что может существовать вероятность злоупотреблений со стороны тех, кто в курсе», - сказал Хендерсон. «Должен быть другой способ (например, текущая функция iOS Mobile Hotspot) настроить точку доступа, которую вы действительно хотите, чтобы другие использовали».

Данные о здоровье и конфиденциальность

HealthKit и Health.app - «возможно, самое большое объявление с точки зрения конфиденциальности», сказал Хендерсон, отметив, что данные в трекерах активности, таких как Fitbit, приложения для мониторинга сердечного ритма, артериального давления и уровня глюкозы в крови, и «умные» весы уже собирают много данных. «HIPAA и другие законодательные акты в области медицинских данных могут быть огромным, заболоченным болотом… как Apple специально защищает вашу информацию?» он спросил.

Экран идентификатора состояния здоровья, к которому можно получить доступ с экрана блокировки, может быть потенциально спасительным, но также может быть использован неправильно. «Что может помешать кому-то взять ваш телефон и определить, какие лекарства вы принимаете? Подумайте о последствиях для конфиденциальности, когда речь идет о человеке с таким серьезным хроническим заболеванием, как ВИЧ / СПИД, рак, диабет или любым другим серьезным заболеванием, которое вы можете не хочу, чтобы о нем узнали другие », - сказал Хендерсон.

У кого есть данные Spotlight?

В центре внимания OS X Yosemite и iOS 8 будут данные из различных источников, таких как Википедия, Карты, обзоры Yelp и новостные статьи. Пользователи должны задаться вопросом, где хранятся данные Spotlight, локально они или на серверах iCloud, чтобы другие устройства могли получить доступ к данным. Если Apple создает профили активности клиентов аналогично тому, что делает Google, стоит спросить, могут ли пользователи попросить Apple удалить этот профиль, когда они покидают экосистему Apple.

«Недавние юридические проблемы Google в ЕС, связанные с гражданами ЕС и« правом быть забытым », должны стать предзнаменованием для Apple и других компаний, ведущих бизнес в ЕС», - сказал Хендерсон.

Также стоит рассмотреть, как Apple представляет поисковые запросы Spotlight сторонним сайтам. «Хотя эта информация не кажется настолько частной, третьи стороны собирают данные из множества источников и сопоставляют их для создания всеобъемлющих профилей пользователей», - предупредил Хендерсон.

Проверьте полный список

Хендерсон изложил длинный список вопросов безопасности, касаясь новой функции разметки в Mail.app, SMS и текстовых сообщений, HomeKit, Family Sharing и многих других. Стоит проверить этот пост полностью в блоге Fortinet.

«К чести Apple, они прошли долгий путь с безопасностью, по крайней мере, когда речь идет о предоставлении людям дополнительной информации», - сказал Хендерсон. «Я надеюсь, что Apple предоставила безопасности первостепенное место в разработке всех этих новых инструментов и функций».