Ključni izsledki
- Novo odkrite ranljivosti v Applovi aplikaciji za iskanje naprav bi lahko razkrile vašo lokacijo in identiteto.
- Aplikacija uporablja množično omrežje milijonov naprav za lociranje "izgubljenih," nepovezanih naprav prek Bluetootha.
- Hekerji bi lahko pridobili nepooblaščen dostop do vaše zgodovine lokacij za zadnjih sedem dni in jo povezali z vašo identiteto.
Raziskovalci pravijo, da bi lahko sistem za sledenje lokaciji, ki vam pomaga najti naprave Apple, razkril tudi vašo identiteto.
Iskanje brez povezave vam omogoča, da poiščete naprave Apple, tudi če niso povezane v internet. Apple je dejal, da aplikacija ščiti zasebnost uporabnikov, vendar poročane varnostne napake v programski opremi kažejo, da je v internetu težko doseči anonimnost. Glede na nedavni članek, ki so ga objavili raziskovalci s tehnične univerze v Darmstadtu v Nemčiji, bi lahko hekerji pridobili nepooblaščen dostop do vaše zgodovine lokacij v zadnjih sedmih dneh in jo povezali z vašo identiteto.
"To nam v resnici dokazuje, da nikoli ni nič 100-odstotno varno in tudi po Applovih popravkih bodo napadalci sčasoma našli nove ranljivosti, ki jih bodo izkoristili," je dejal Jason Glassberg, soustanovitelj podjetja za kibernetsko varnost Casaba Security v intervju po elektronski pošti. "Večja težava pri tem je, da zasebnosti uporabnikov nikoli ni mogoče zagotoviti in ljudje morajo spremeniti svoje mišljenje iz ideje, da so 'zasebni', v resničnost, da so preprosto 'manj izkoriščani'."
Poišči in prepoznaj
Ekipa iz Darmstadta je ugotovila, da "splošna zasnova dosega Applove posebne cilje" glede zasebnosti, vendar so odkrili dve ranljivosti, "ki se zdita zunaj Applovega modela groženj" in bi lahko imeli resne posledice.
Večja težava tukaj je, da zasebnosti uporabnikov nikoli ni mogoče zagotoviti.
Strokovnjaki vendarle pravijo, da naj vas zaradi teh pomanjkljivosti ne skrbi preveč.
"Čeprav sta bili v Applovi funkciji iskanja brez povezave najdeni dve varnostni napaki, nobena od njiju ni bila posebej resna in ni bilo poročil o primerih, ko bi se te ranljivosti izkoriščale v naravi," Paul Bischoff, strokovnjak za zasebnost pri Comparitechu, je dejal v intervjuju po elektronski pošti. "Apple je že popravil hujšo od obeh ranljivosti, zato naj lastniki iPhonov čim prej posodobijo svoje naprave."
Ena napaka v aplikaciji bi Applu omogočila sledenje lokaciji uporabnikov, kar bi bilo v nasprotju z njegovo politiko zasebnosti, je dejal Bischoff. "Kot rečeno, ni dokazov, ki bi kazali, da je Apple izkoristil to ranljivost, in raziskovalci niso rekli, da bi jo lahko izkoristil napadalec tretje osebe."
Druga napaka je napadalcu omogočila dostop do zgodovine lokacij, shranjene v iPhonu, čeprav je moral iPhone najprej okužiti z zlonamerno programsko opremo. Čeprav je Apple morda popravil to težavo, pomanjkljivosti v aplikaciji »Find My« poudarjajo, kako lahko podatki o lokaciji razkrijejo, kje nekdo živi in dela.
"Če ima uporabnik na primer določeno mobilno aplikacijo za svoj avto, lahko tok GPS prepozna trende tega uporabnika, ko zapusti pisarno, kar bi ga lahko izpostavilo kraji avtomobila, " Mark Pittman, izvršni direktor podjetja Blyncsy, podjetje za obveščanje o gibanju in podatkih, je dejal v intervjuju po elektronski pošti. "Podobno, če uporabnik deli GPS iz aplikacije za zmenke, bi ga lahko uporabil plenilec za sledenje in potencialno napad na uporabnika."
Kako se zaščititi
Recimo, da vas skrbi razkritje vaše identitete. V tem primeru se lahko izključite iz omrežja »Find My« v nastavitvah aplikacije Find My iPhone, je v intervjuju po elektronski pošti poudaril strokovnjak za kibernetsko varnost Chris Hazelton, direktor varnostnih rešitev pri Lookoutu.
"Če želijo biti dvojno prepričani, lahko uporabniki izklopijo Bluetooth, ki se uporablja za povezovanje z izgubljenimi napravami," je dejal Hazelton. "Čeprav je težko na splošno preprečiti sledenje vaši lokaciji, je najboljša praksa ta, da nobeni aplikaciji ne dovolite neprekinjenega sledenja vaši lokaciji."
Odločitev, ali se bo odločil za storitev »Find My«, je prepuščena uporabniku, je dejal Hazelton. Odločiti se morajo, ali prednosti lokacijske storitve prevladajo nad tveganji skupne rabe njihove lokacije.
"Za storitve, kot je Find My iPhone," je dodal, "bo večina uporabnikov, ki so izgubili svojo napravo, verjetno rekla da."
