Video: OS X 10.10 Yosemite & iOS 8 : Handoff (Oktober 2024)
Som alltid er Apples verdensomspennende utviklerkonferanse full av nye funksjoner og teknologier. Men disse samme spennende funksjonene kommer med mange spørsmål om brukernes personvern og datasikkerhet. Vi pakker ut noen av dem her på Security Watch .
Apple avduket en lang liste med nye funksjoner og teknologier for operativsystemene OS X Yosemite og iOS 8 på WWDC denne uken. Fokuset på kontinuitet, eller den sømløse integrasjonen mellom brukeropplevelsen til OS X og iOS, kan potensielt være problematisk for organisasjoner og brukere, antydet Richard Henderson, en sikkerhetsstrateg ved Fortinet FortiGuard Threat Research and Response Labs.
Henderson flagget den følgende linjen fra WWDC-keynote: "Viser seg at når du jobber på Mac-en din, er enhetene rundt deg… klar over hverandre og er klar over hva du gjør opp til." Denne setningen "burde gjøre de fleste sikkerhetsbevisste brukere veldig opptatt, " sa Henderson.
Kan medarbeidere, barn eller betydningsfulle andre med iOS-enheter "rundt deg" se "hva du har med å gjøre?" spurte Henderson. "Mulighetene for stille overvåking eksisterer hvis dette er tilfelle."
Så mens det er fristende å anta at Apple har bakt sikkerhet i disse nye funksjonene, bør du vurdere sikkerhets- og personvernkonsekvensene på forhånd. Noe sikkerhetsskepsis er nødvendig for alle som tenker på å delta i det offentlige betaprogrammet.
Kontinuiteten er fin, men hvor går dataene mine?
Handoff, funksjonen som lar brukere begynne å jobbe med noe på iPad og plukke opp akkurat der de slapp på Mac-en, kan vise seg å være det beste som skjedde i Apples økosystem siden iPhone sin opprinnelige debut. Selv om det er flott at iOS-enheten din ikke lenger er en øy, koker det største sikkerhetsspørsmålet til hvordan akkurat Apple ville overført informasjonen mellom maskiner.
Kanskje vil funksjonen være begrenset til maskiner koblet til det samme nettverket. Ellers virker det rimelig å anta at overleveringsinformasjonen lagres midlertidig i iCloud Drive, sa Henderson. Denne antagelsen fører til et helt sett med andre spørsmål, for eksempel hvordan dataene blir overført, om Apple krypterer dataene som er lagret på iCloud-servere, og om Apple kan bli tvunget til å utlevere informasjon når de blir stilt overfor et nasjonalt sikkerhetsbrev eller en rettsavgjørelse.
Det ideelle scenariet ville være hvis Apple brukte ende-til-ende-kryptering for Handoff, siden enhetene kan generere de private og offentlige nøklene når de installerte alt for første gang, sa Henderson. "Det ville ikke ha noe å si om enhetene var lokale for hverandre eller ikke - bare krypter dataene med den offentlige nøkkelen din, send dem til iCloud Drive-serverne, og den andre enheten din trekker den ned og dekrypterer dem ved å bruke den tidligere opprettede private nøkkel, "sa han.
Passordfrie hotspots kan misbrukes
Apple gjorde Instant Hotspot enda enklere for iOS 8-brukere som vil dele Internett-tilkoblinger. Klikk på enheten, og voila! Internett-tilkobling. "(Y) du skriver aldri inn et passord, og du er i nettverket så enkelt, " ifølge Apple.
Men kanskje er prosessen for lett, advarte Henderson. Hvis Instant Hotspot fungerer selv om telefonen "sitter i en veske på den andre siden av rommet", kan dette være problematisk for brukere i et offentlig område som en flyplass eller en lokal kaffebar, sa han. På den ene siden kan alle som kan se og koble seg til telefonen, avvikle stjeling av båndbredde. På den annen side, å legge alt dette bak iCloud-kontoen for sikkerhet, betyr at bare enheter som er autentisert med iCloud og Apple, kan dra nytte av hotspot-funksjonen. Det er ikke helt slik folk vanligvis bruker hotspots.
"Når du kjenner Apple, vil det være utrolig enkelt å konfigurere dette for mindre" dyktige "brukere, noe som betyr at potensialet for misbruk fra de som er kjent, kan eksistere, " sa Henderson. "Det må være en annen måte (som den gjeldende iOS Mobile Hotspot-funksjonen) å sette opp et hotspot som du faktisk vil at andre skal bruke."
Helsedata og personvern
HealthKit og Health.app er "kanskje den største kunngjøringen fra et privatlivsperspektiv", sa Henderson og la merke til at data i aktivitetssporere som Fitbit, apper som overvåker hjertefrekvens, blodtrykk og blodsukkernivå, og "smarte" veier allerede samler inn mye data. "HIPAA og annen lovgivning om helsedata kan være et enormt, sumpete myr… hvordan beskytter Apple spesifikt informasjonen din?" spurte han.
ID-skjermen som kan nås fra låseskjermen kan være livreddende, men den kan også misbrukes. "Hva er det som skal hindre noen i å hente telefonen og bestemme hvilke medisiner du tar? Tenk på personvernkonsekvensene når det gjelder noen med en alvorlig kronisk sykdom som HIV / AIDS, kreft, diabetes eller andre alvorlige sykdommer du måtte ha ikke vil at andre skal vite noe om, "sa Henderson.
Hvem har søkelysdata?
Spotlight på både OS X Yosemite og iOS 8 vil hente data fra forskjellige kilder, for eksempel Wikipedia, kart, Yelp-anmeldelser og nyhetsartikler. Brukere bør lure på hvor Spotlight-dataene blir lagret, enten det er lokalt eller på iCloud-servere, slik at andre enheter kan få tilgang til dataene. Hvis Apple bygger kundeaktivitetsprofiler som ligner det Google gjør, er det verdt å spørre om brukere kan be Apple fjerne denne profilen når de forlater Apple-økosystemet.
"Googles nylige juridiske hodepine i EU som involverer EU-borgere og 'retten til å bli glemt', bør være en portent for Apple og andre selskaper som driver virksomhet i EU, " sa Henderson.
Det er også verdt å vurdere hvordan Apple presenterer Spotlight-søk for tredjeparts nettsteder. Selv om den informasjonen ikke synes å være så privat, samler tredjeparter data fra mange kilder og kryssrefererer dem for å lage omfattende brukerprofiler, ”advarte Henderson.
Sjekk hele listen
Henderson skisserte en lang liste med sikkerhetsspørsmål, og berørte den nye markeringsfunksjonen i Mail.app, SMS og tekstmeldinger, HomeKit, Family Sharing og mye mer. Det er verdt å sjekke innlegget i sin helhet på Fortinet-bloggen.
"Til Apples anerkjennelse har de kommet langt med sikkerhet, i hvert fall når det gjelder å gi mer informasjon til folk, " sa Henderson. "Det er mitt håp at Apple har gitt sikkerhet en primær plass i å utvikle alle disse nye verktøyene og funksjonene."
