וִידֵאוֹ: WWDC 2014 - Что нового? / OS X Yosemite и iOS 8 (נוֹבֶמבֶּר 2024)
כמו תמיד, ועידת המפתחים העולמית של אפל כוללת תכונות וטכנולוגיות חדשות. אך אותן תכונות מלהיבות מגיעות עם הרבה שאלות על פרטיות המשתמשים ואבטחת הנתונים. אנו מפרקים כמה מהם כאן ב- Security Watch .
אפל חשפה השבוע שורה ארוכה של תכונות וטכנולוגיות חדשות עבור מערכות ההפעלה X X Yosemite ו- iOS 8 שלה ב- WWDC. ההתמקדות ברציפות, או בשילוב חלק בין מערכת ההפעלה X X לחווית המשתמש של iOS, עשויה להיות בעייתית עבור ארגונים ומשתמשים, הציע ריצ'רד הנדרסון, אסטרטג אבטחה במעבדות המחקר והתגובה בנושא פגעים FortiGuard בנושא פגעים.
הנדרסון סימן את השורה הבאה ממפתח התואר של ה- WWDC: "מסתבר שכשאתה עובד על ה- Mac שלך, המכשירים שסביבך… מודעים אחד לשני ומודעים למה אתה עומד." משפט זה "אמור לגרום לדאגה רבה ביותר של המשתמשים המודעים לאבטחה", אמר הנדרסון.
האם עמיתים לעבודה, ילדים או אנשים משמעותיים אחרים עם מכשירי iOS "שסביבך" יכולים לראות "מה אתה עושה?" שאל הנדרסון. "האפשרויות לניטור שקט קיימות אם זה המקרה."
אז בעוד שמפתה להניח שאפל אפתה אבטחה בתכונות החדשות הללו, שקול את השלכות האבטחה והפרטיות לפני כן. ספקנות ביטחונית מסוימת הכרחית לכל מי שחושב להשתתף בתוכנית הביטא הציבורית.
המשכיות זה נחמד, אבל לאן הנתונים שלי הולכים?
Handoff, הפיצ'ר שמאפשר למשתמשים להתחיל לעבוד על משהו באייפד ולהרים בדיוק איפה שהפסיקו על ה- Mac, עשוי להתברר כדבר הטוב ביותר שקורה במערכת האקולוגית של אפל מאז הופעת הבכורה המקורית של אייפון. אמנם זה נהדר שמכשיר ה- iOS שלך הוא כבר לא אי, אבל שאלת האבטחה הגדולה ביותר מסתכמת באיך בדיוק אפל תעביר את המידע בין מכונות.
אולי התכונה תהיה מוגבלת למכונות המחוברות באותה רשת. אחרת נראה סביר להניח שמידע המסירה מאוחסן באופן זמני בכונן iCloud, אמר הנדרסון. הנחה זו מובילה לקבוצה שלמה של שאלות אחרות, כגון אופן העברת הנתונים, האם אפל מצפינה את הנתונים המאוחסנים בשרתי iCloud והאם ניתן יהיה לאלץ את אפל למסור מידע כאשר היא עומדת בפני מכתב לביטחון לאומי או צו בית משפט.
התרחיש האידיאלי יהיה אם אפל תשתמש בהצפנה מקצה לקצה עבור Handoff, מכיוון שהמכשירים יכולים לייצר את המפתחות הפרטיים והציבוריים בעת הגדרת הכל בפעם הראשונה, אמר הנדרסון. "לא משנה אם המכשירים היו מקומיים זה לזה או לא - פשוט הצפין את הנתונים האלה באמצעות המפתח הציבורי שלך, שלחו אותם לשרתי iCloud Drive, והמכשיר האחר שלך מוריד אותם ומפענח אותם באמצעות הפרטי שנוצר קודם. מפתח, "הוא אמר.
ניתן לעשות שימוש לרעה בנקודות חמות נטולות סיסמאות
אפל הפכה את Hotspot של Instant לפשוטה עוד יותר עבור משתמשי iOS 8 שרוצים לשתף חיבורי אינטרנט. לחץ על המכשיר, וואלה! חיבור לאינטרנט. "(Y) לעולם אינך צריך להקליד סיסמה, ואתה נמצא ברשת בצורה כזו בקלות, " לדברי אפל.
אבל אולי התהליך קל מדי, הזהיר הנדרסון. אם Hotspot Instant פועל גם אם הטלפון "יושב בתיק יד בצד השני של החדר", זה יכול להיות בעייתי עבור משתמשים באזור ציבורי כמו שדה תעופה או בית קפה מקומי, הוא אמר. מצד אחד, כל מי שיכול לראות ולהתחבר לטלפון יכול לסגור גניבת רוחב פס. מצד שני, העמדת כל זה מאחורי חשבון iCloud לאבטחה פירושה שרק מכשירים המאומתים עם iCloud ואפל יכולים לנצל את הפונקציה hotspot. זה לא בדיוק איך אנשים משתמשים בדרך כלל בנקודות חמות.
"מכיר את אפל, יהיה קל להפליא להגדיר את זה למשתמשים פחות 'מיומנים', כלומר פוטנציאל להתעללות מצד האנשים הנודעים עשוי להתקיים, " אמר הנדרסון. "תצטרך להיות דרך אחרת (כמו תכונת ה- iOS Mobile Hotspot הנוכחית) כדי להגדיר נקודה חמה שאולי תרצה שאחרים ישתמשו בה."
נתוני בריאות ופרטיות
HealthKit ו- Health.app היא "אולי ההכרזה הגדולה ביותר מנקודת מבט פרטיות", אמר הנדרסון, וציין כי נתונים במעקב אחר פעילויות כמו Fitbit, אפליקציות המנטרות את הדופק, לחץ הדם ורמות הגלוקוז בדם, ומאזני שקילה "חכמים" כבר אוספים הרבה נתונים. "HIPAA וחקיקת נתונים אחרים בתחום שירותי הבריאות יכולים להוות חבלה ענקית וביצה… איך אפל מגינה באופן ספציפי על המידע שלך?" הוא שאל.
מסך זיהוי החירום הבריאותי אליו ניתן לגשת ממסך הנעילה יכול להיות מציל חיים, אך הוא יכול גם להיות לרעה. "מה מונע ממישהו להרים את הטלפון שלך ולקבוע אילו תרופות אתה לוקח? חשוב על השלכות הפרטיות כשמדובר במישהו הסובל ממחלה כרונית קשה כמו HIV / איידס, סרטן, סוכרת או כל מחלה קשה אחרת שאתה עלול לא רוצה שאחרים יידעו על זה, "אמר הנדרסון.
למי יש נתוני זרקור?
זרקור בשני OS X Yosemite וגם iOS 8 יביא נתונים ממקורות שונים, כמו ויקיפדיה, מפות, ביקורות Yelp ומאמרי חדשות. משתמשים צריכים לתהות היכן מאוחסנים נתוני Spotlight, בין אם הם מקומיים או על שרתי iCloud כך שמכשירים אחרים יוכלו לגשת לנתונים. אם אפל בונה פרופילי פעילות של לקוחות הדומים למה שגוגל עושה, כדאי לשאול אם המשתמשים יכולים לבקש מאפל להסיר את הפרופיל הזה כשהם עוזבים את המערכת האקולוגית של אפל.
"כאבי הראש החוקיים האחרונים של גוגל באיחוד האירופי, בהם מעורבים אזרחי האיחוד האירופי וה'זכות להישכח 'צריכים להוות סמל עבור אפל וחברות אחרות שעושות עסקים באיחוד האירופי, " אמר הנדרסון.
כדאי גם לקחת בחשבון כיצד אפל מציגה שאילתות חיפוש של Spotlight באתרי צד ג '. "למרות שמידע זה לא נראה כל כך פרטי, צדדים שלישיים אוספים נתונים מעשרות מקורות ומפנים אותם כדי לבנות פרופילי משתמשים מקיפים", הזהיר הנדרסון.
עיין ברשימה המלאה
הנדרסון תיאר רשימה ארוכה של שאלות אבטחה, תוך שהוא נוגע בתכונה החדשה לסימון ב- Mail.app, SMS והודעות טקסט, HomeKit, שיתוף משפחות והרבה יותר. שווה לבדוק את הפוסט במלואו בבלוג פורטינט.
"לזכותה של אפל הם עשו דרך ארוכה עם אבטחה, לפחות כשמדובר במתן מידע נוסף לאנשים", אמר הנדרסון. "אני מקווה שאפל העניקה לאבטחה מקום עיקרי בפיתוח כל הכלים והתכונות החדשים הללו."