Koti Securitywatch Os x yosemite, ios 8: turvallisuuskatastrofit odottavat tapahtuvan?

Os x yosemite, ios 8: turvallisuuskatastrofit odottavat tapahtuvan?

Video: OS X Yosemite 10.10 и iOS 8.0: Handoff, AirDrop, звонки (Marraskuu 2024)

Video: OS X Yosemite 10.10 и iOS 8.0: Handoff, AirDrop, звонки (Marraskuu 2024)
Anonim

Kuten aina, Applen maailmanlaajuinen kehittäjäkonferenssi on täynnä uusia ominaisuuksia ja tekniikoita. Mutta nämä samat jännittävät ominaisuudet sisältävät paljon kysymyksiä käyttäjän yksityisyydestä ja tietoturvasta. Purskaamme muutaman heistä täällä Security Watchissa .

Apple julkisti tällä viikolla pitkän luettelon uusista ominaisuuksista ja tekniikoista OS X Yosemite- ja iOS 8 -käyttöjärjestelmille. Keskittyminen jatkuvuuteen tai saumattomaan integrointiin OS X: n ja iOS-käyttökokemuksen välillä voi olla ongelmallista organisaatioille ja käyttäjille, ehdotti Richard Henderson, Fortinetin FortiGuard Threat Research and Response Labs -turvallisuusstrategia.

Henderson merkitsi seuraavan rivin WWDC: n avainsanasta: "Nyt käy ilmi, että kun työskentelet Macillasi, ympärilläsi olevat laitteet ovat tietoisia toisistaan ​​ja ovat tietoisia siitä, mitä olet tekemässä." Tämän lauseen "pitäisi tehdä useimmista tietoturvatietoisista käyttäjistä erittäin huolissaan", Henderson sanoi.

Voivatko työtoverisi, lapset tai muut merkittävät henkilöt, joiden iOS-laitteilla on "ympärilläsi", nähdä "mitä olet tekemässä?" kysyi Hendersonilta. "Mahdollisuudet hiljaiseen seurantaan ovat olemassa, jos näin on."

Joten vaikka on houkuttelevaa olettaa, että Apple on käyttänyt turvallisuutta näissä uusissa ominaisuuksissa, harkitse etukäteen turvallisuus- ja yksityisyysvaikutuksia. Jotkut tietosuoja-skeptisyydet ovat tarpeen jokaiselle, joka ajattelee osallistumista julkiseen beetaohjelmaan.

Jatkuvuus on mukavaa, mutta minne tietoni menevät?

Vaihto, ominaisuus, jonka avulla käyttäjät voivat alkaa työskennellä jonkin iPadin parissa ja poimia tarkalleen missä he lopettivat Macin, saattavat osoittautua parhaaksi, mitä Applen ekosysteemissä tapahtuu iPhonen alkuperäisen debyytin jälkeen. Vaikka on hienoa, että iOS-laitteesi ei ole enää saari, suurin tietoturvakysymys miettii, kuinka Apple oikein välittäisi tietoja koneiden välillä.

Ehkä ominaisuus rajoittuisi koneisiin, jotka on kytketty samaan verkkoon. Muutoin vaikuttaa kohtuulliselta olettaa, että yhteysvastuun vaihtoa koskevat tiedot tallennetaan väliaikaisesti iCloud-asemaan, Henderson sanoi. Tämä oletus johtaa joukkoon muita kysymyksiä, kuten miten tietoja siirretään, salaako Apple Apple iCloud-palvelimille tallennetut tiedot ja voidaanko Apple pakottaa luovuttamaan tietoja, kun ne kohtaavat kansallisen turvallisuuden kirjeen tai tuomioistuimen päätöksen.

Ihanteellinen tilanne olisi, jos Apple käyttäisi päästä päähän -salausa vaihtoa varten, koska laitteet voivat luoda yksityiset ja julkiset avaimet asetettaessa kaikkea ensimmäistä kertaa, Henderson sanoi. "Ei ole väliä, olivatko laitteet paikallisia vai eivät - salaa vain nämä tiedot julkisella avaimellasi, lähetä ne iCloud Drive -palvelimille ja toinen laite vetää ne alas ja purkaa ne aiemmin luodulla yksityisellä avain ", hän sanoi.

Salasanattomia kuumia paikkoja voidaan käyttää väärin

Apple teki Instant Hotspotista entistä yksinkertaisemman iOS 8 -käyttäjille, jotka haluavat jakaa Internet-yhteydet. Napsauta laitetta ja voila! Internet-yhteys. "(Y) Et koskaan kirjoita salasanaa, ja olet verkossa niin helposti", Apple sanoo.

Mutta ehkä prosessi on liian helppo, varoitti Henderson. Mikäli Instant Hotspot toimii, vaikka puhelin istuisi "käsilaukussa huoneen toisella puolella", tämä voi olla ongelmallista julkisen alueen, kuten lentokentän tai paikallisen kahvilan käyttäjille, hän sanoi. Toisaalta kuka tahansa, joka näkee puhelimen ja muodostaa yhteyden siihen, voi loppua kaistanleveyden varastamisesta. Toisaalta kaiken tämän laittaminen iCloud-tilin taakse turvallisuudelle tarkoittaa vain iCloudilla todennettuja laitteita ja Apple voi hyödyntää hotspot-ominaisuutta. Se ei ole aivan miten ihmiset yleensä käyttävät hotspot-pisteitä.

"Kun tiedät Applen, on uskomattoman helppoa asentaa tämä vähemmän" taitaville "käyttäjille, mikä tarkoittaa, että tietäneiden käyttäjien väärinkäytöksiä saattaa olla", Henderson sanoi. "Siellä on oltava jokin muu tapa (kuten nykyinen iOS Mobile Hotspot -ominaisuus) hotspotin asettamiseksi, jonka saatat tosiasiallisesti haluta muiden käyttävän."

Terveystiedot ja yksityisyys

HealthKit ja Health.app on "ehkä suurin ilmoitus yksityisyyden näkökulmasta", Henderson totesi, että aktiivisuusseurantalaitteiden kuten Fitbit, sykettä, verenpainetta ja verensokeria seuraavien sovellusten sekä "älykkäiden" punnitusasteikkojen tiedot keräävät jo paljon tietoa. "HIPAA ja muu terveydenhuollon tietolainsäädäntö voi olla valtava, soinen soita… miten Apple suojaa tietosi erityisesti?" hän kysyi.

Terveyden hätätilanteen ID-näyttö, johon pääsee lukitusnäytöltä, voi olla hengenpelastus, mutta sitä voidaan myös käyttää väärin. "Mikä estää jotakuta hakemasta puhelinta ja määrittämästäsi käytettäviä lääkkeitä? Ajattele yksityisyyden suojaa koskevia vaikutuksia, kun kyse on henkilöstä, jolla on vakava krooninen sairaus, kuten HIV / AIDS, syöpä, diabetes tai mikä tahansa muu vakava sairaus, jonka saatat saada eivät halua muiden tietävän ", Henderson sanoi.

Kenellä on Spotlight-tietoja?

Spotlight sekä OS X Yosemite- että iOS 8 -sovelluksissa noutaa tietoja useista lähteistä, kuten Wikipediasta, Mapsista, Yelp-arvosteluista ja uutisartikkeleista. Käyttäjien tulisi miettiä, mihin Spotlight-tietoja tallennetaan, onko ne paikallisesti vai iCloud-palvelimilla, jotta muut laitteet pääsevät tietoihin. Jos Apple rakentaa asiakastoimintaprofiileja samalla tavalla kuin Google, on syytä kysyä, voivatko käyttäjät pyytää Applea poistamaan profiilin poistuessaan Applen ekosysteemistä.

"Googlen äskettäisillä EU: n laillisilla päänsärkyillä, joihin osallistui EU: n kansalaisia, ja" oikeudella olla unohdettujen "pitäisi olla merkitys Applelle ja muille yrityksille, jotka harjoittavat kauppaa EU: ssa", Henderson sanoi.

On myös syytä pohtia, kuinka Apple esittää Spotlight-hakulausekkeita kolmansien osapuolien sivustoille. "Vaikka nämä tiedot eivät näytä olevan niin yksityisiä, kolmannet osapuolet keräävät tietoja useista lähteistä ja viittaavat niihin kattavien käyttäjäprofiilien luomiseksi", Henderson varoitti.

Katso koko lista

Henderson esitteli pitkän luettelon turvakysymyksistä koskettamalla uutta merkintäominaisuutta Mail.appissa, tekstiviestejä ja tekstiviestit, HomeKit, Family Sharing ja paljon muuta. Kannattaa tutustua viestiin kokonaisuudessaan Fortinet-blogissa.

"Applen luottamuksena on se, että he ovat edenneet tietä turvallisuuteen ainakin, kun on kyse lisätietojen tarjoamisesta ihmisille", Henderson sanoi. "Toivon, että Apple on antanut turvallisuudelle ensisijaisen sijaan kaikkien näiden uusien työkalujen ja ominaisuuksien kehittämisessä."

Os x yosemite, ios 8: turvallisuuskatastrofit odottavat tapahtuvan?