Video: OS X Yosemite 10.10 и iOS 8.0: Handoff, AirDrop, звонки (November 2024)
Zoals altijd zit Apple's Worldwide Developer's Conference boordevol nieuwe functies en technologieën. Maar deze zelfde opwindende functies komen met veel vragen over gebruikersprivacy en gegevensbeveiliging. We pakken er hier een paar uit bij Security Watch .
Apple heeft deze week op WWDC een lange lijst nieuwe functies en technologieën onthuld voor zijn OS X Yosemite en iOS 8-besturingssystemen. De focus op continuïteit, of de naadloze integratie tussen de OS X en iOS gebruikerservaring, kan potentieel problematisch zijn voor organisaties en gebruikers, suggereerde Richard Henderson, een beveiligingsstrateeg bij Fortinet's FortiGuard Threat Research and Response Labs.
Henderson markeerde de volgende regel uit de WWDC-keynote: "Blijkt nu dat wanneer u op uw Mac werkt, de apparaten om u heen… zich bewust zijn van elkaar en zich bewust zijn van wat u van plan bent." Deze zin "zou de meeste beveiligingsbewuste gebruikers erg bezorgd moeten maken, " zei Henderson.
Kunnen collega's, kinderen of belangrijke anderen met iOS-apparaten "om u heen" zien "wat u van plan bent?" vroeg Henderson. "De mogelijkheden voor stille monitoring bestaan als dit het geval is."
Hoewel het verleidelijk is om aan te nemen dat Apple beveiliging in deze nieuwe functies heeft ingebouwd, moet je de beveiligings- en privacyimplicaties vooraf overwegen. Enige scepsis in de beveiliging is noodzakelijk voor iedereen die eraan denkt deel te nemen aan het openbare bètaprogramma.
Continuïteit is leuk, maar waar gaan mijn gegevens naartoe?
Handoff, de functie waarmee gebruikers aan iets op de iPad kunnen beginnen en precies verder kunnen gaan waar ze waren gebleven op de Mac, zou het beste kunnen zijn wat er in het ecosysteem van Apple is gebeurd sinds het oorspronkelijke debuut van de iPhone. Hoewel het geweldig is dat je iOS-apparaat niet langer een eiland is, komt de grootste beveiligingsvraag neer op hoe Apple precies de informatie tussen machines zou verzenden.
Misschien is de functie beperkt tot machines die op hetzelfde netwerk zijn aangesloten. Anders lijkt het redelijk om aan te nemen dat de overdrachtsinformatie tijdelijk wordt opgeslagen in de iCloud Drive, zei Henderson. Die veronderstelling leidt tot een hele reeks andere vragen, zoals hoe de gegevens worden verzonden, of Apple de gegevens codeert die zijn opgeslagen op iCloud-servers, en of Apple kan worden gedwongen om informatie te overhandigen wanneer ze wordt geconfronteerd met een Nationale Veiligheidsbrief of gerechtelijk bevel.
Het ideale scenario zou zijn als Apple end-to-end encryptie voor Handoff gebruikt, omdat de apparaten de private en publieke sleutels zouden kunnen genereren bij het instellen van alles voor de eerste keer, zei Henderson. "Het maakt niet uit of de apparaten lokaal zijn of niet - codeer die gegevens gewoon met uw openbare sleutel, stuur ze naar de servers van iCloud Drive en uw andere apparaat haalt ze op en ontcijfert ze met de eerder gemaakte privé sleutel, "zei hij.
Wachtwoordvrije hotspots kunnen worden misbruikt
Apple heeft Instant Hotspot nog eenvoudiger gemaakt voor iOS 8-gebruikers die internetverbindingen willen delen. Klik op het apparaat en voila! Internetverbinding. "(Y) Je voert nooit een wachtwoord in, en je bent zo gemakkelijk op het netwerk", aldus Apple.
Maar misschien is het proces te gemakkelijk, waarschuwde Henderson. Als Instant Hotspot werkt, zelfs als de telefoon "in een handtas aan de andere kant van de kamer zit", kan dit problematisch zijn voor gebruikers in een openbare ruimte, zoals een luchthaven of een lokale coffeeshop, zei hij. Aan de ene kant kan iedereen die de telefoon kan zien en er verbinding mee kan maken, bandbreedte stelen. Aan de andere kant betekent het plaatsen van dit alles achter de iCloud-account voor beveiliging dat alleen apparaten die zijn geverifieerd met iCloud en Apple kunnen profiteren van de hotspotfunctie. Dat is niet helemaal hoe mensen over het algemeen hotspots gebruiken.
"Als je Apple kent, zal het ongelooflijk eenvoudig zijn om dit in te stellen voor minder 'geschoolde' gebruikers, wat betekent dat er potentieel misbruik kan bestaan, " zei Henderson. "Er zal een andere manier moeten zijn (zoals de huidige iOS Mobile Hotspot-functie) om een hotspot in te stellen waarvan je misschien wilt dat anderen die gebruiken."
Gezondheidsgegevens en privacy
HealthKit en Health.app is 'misschien wel de grootste aankondiging vanuit privacyperspectief', zei Henderson. Hij merkte op dat gegevens in activiteitstrackers zoals Fitbit, apps die de hartslag, bloeddruk en bloedglucose meten, en 'slimme' weegschalen al verzamelen veel data. "HIPAA en andere wetgeving op het gebied van gezondheidszorggegevens kunnen een enorm moerassig moeras zijn… hoe beschermt Apple uw informatie nu specifiek?" hij vroeg.
Het gezondheids-ID-scherm dat toegankelijk is via het vergrendelscherm kan potentieel levensreddend zijn, maar kan ook worden misbruikt. "Wat houdt iemand tegen om uw telefoon op te nemen en te bepalen welke medicijnen u gebruikt? Denk aan de privacyimplicaties als het gaat om iemand met een ernstige chronische ziekte zoals HIV / AIDS, kanker, diabetes of een andere ernstige ziekte die u niet willen dat anderen het weten, "zei Henderson.
Wie heeft Spotlight-gegevens?
Spotlight op zowel OS X Yosemite als iOS 8 haalt gegevens op uit verschillende bronnen, zoals Wikipedia, Maps, Yelp reviews en nieuwsartikelen. Gebruikers moeten zich afvragen waar de Spotlight-gegevens worden opgeslagen, of deze lokaal zijn of op iCloud-servers zodat andere apparaten toegang hebben tot de gegevens. Als Apple profielen van klantactiviteiten bouwt die vergelijkbaar zijn met wat Google doet, is het de moeite waard om te vragen of gebruikers Apple kunnen vragen om dat profiel te verwijderen wanneer ze het Apple-ecosysteem verlaten.
"De recente juridische problemen van Google in de EU waarbij EU-burgers betrokken zijn en het 'recht om te worden vergeten' zouden een voorbode moeten zijn voor Apple en andere bedrijven die zaken doen in de EU, " zei Henderson.
Het is ook de moeite waard om te overwegen hoe Apple Spotlight-zoekopdrachten presenteert aan sites van derden. "Hoewel die informatie niet zo privé lijkt, verzamelen derde partijen gegevens uit tientallen bronnen en verwijzen ze ernaar om uitgebreide gebruikersprofielen op te bouwen, " waarschuwde Henderson.
Bekijk de volledige lijst
Henderson schetste een lange lijst met beveiligingsvragen en raakte de nieuwe markeerfunctie in Mail.app, SMS en sms, HomeKit, Family Sharing en nog veel meer. Het is de moeite waard om het hele bericht op de Fortinet-blog te bekijken.
"Het is Apple's verdienste dat ze een heel eind zijn gekomen op het gebied van beveiliging, tenminste als het gaat om het verstrekken van meer informatie aan mensen, " zei Henderson. "Ik hoop dat Apple beveiliging een primaire plaats heeft gegeven bij de ontwikkeling van al deze nieuwe tools en functies."
