Video: OS X Yosemite 10.10 и iOS 8.0: Handoff, AirDrop, звонки (September 2024)
Som alltid är Apples världsomfattande utvecklarkonferens full av nya funktioner och tekniker. Men samma spännande funktioner kommer med många frågor om användares integritet och datasäkerhet. Vi packar upp några av dem här på Security Watch .
Apple avslöjade en lång lista med nya funktioner och tekniker för sina OS X Yosemite och iOS 8 operativsystem på WWDC denna vecka. Fokus på kontinuitet, eller den sömlösa integrationen mellan OS X och iOS användarupplevelse, kan potentiellt vara problematisk för organisationer och användare, föreslog Richard Henderson, en säkerhetsstrateg vid Fortinet FortiGuard Threat Research and Response Labs.
Henderson flaggade följande rad från WWDC: s nyckel: "Visas nu när du arbetar på din Mac, enheterna runt dig… är medvetna om varandra och är medvetna om vad du gör upp till." Denna mening "bör göra de flesta säkerhetsmedvetna användare mycket bekymrade, " sade Henderson.
Kan medarbetare, barn eller betydande andra med iOS-enheter "omkring dig" se "vad du har att göra med?" frågade Henderson. "Möjligheterna för tyst övervakning finns om detta är fallet."
Så medan det är frestande att anta att Apple har bakat säkerhet i dessa nya funktioner, bör du tänka på säkerhets- och integritetskonsekvenserna i förväg. Viss säkerhetsskepsis är nödvändig för alla som funderar på att delta i det offentliga betaprogrammet.
Kontinuitet är trevligt, men vart går min data?
Handoff, funktionen som gör att användare kan börja arbeta med något på iPad och plocka upp exakt var de slutade på Mac, kan visa sig vara det bästa som hänt i Apples ekosystem sedan iPhone: s ursprungliga debut. Det är fantastiskt att din iOS-enhet inte längre är en ö, men den största säkerhetsfrågan är hur exakt Apple skulle överföra informationen mellan maskiner.
Kanske skulle funktionen vara begränsad till maskiner anslutna i samma nätverk. Annars verkar det rimligt att anta att handoff-informationen lagras tillfälligt i iCloud Drive, sade Henderson. Det antagandet leder till en hel uppsättning andra frågor, till exempel hur informationen överförs, huruvida Apple krypterar de data som lagras på iCloud-servrar och om Apple kan tvingas lämna ut information när de står inför ett nationellt säkerhetsbrev eller domstolsbeslut.
Det ideala scenariot skulle vara om Apple använde en-till-ende-kryptering för Handoff, eftersom enheterna kunde generera de privata och offentliga nycklarna när de installerade allt för första gången, sade Henderson. "Det spelade ingen roll om enheterna var lokala för varandra eller inte - bara kryptera den informationen med din offentliga nyckel, skicka den till iCloud Drive-servrar och din andra enhet drar ner den och dekrypterar den med den tidigare skapade privata nyckel, "sa han.
Lösenordsfria hotspots kan missbrukas
Apple gjorde Instant Hotspot ännu enklare för iOS 8-användare som vill dela Internet-anslutningar. Klicka på enheten och voila! Internet anslutning. "(Y) du skriver aldrig ett lösenord och du är i nätverket så enkelt", enligt Apple.
Men kanske är processen för lätt, varnade Henderson. Om Instant Hotspot fungerar även om telefonen "sitter i en handväska på andra sidan rummet", kan detta vara problematiskt för användare i ett offentligt område som en flygplats eller ett lokalt kafé, sa han. Å ena sidan kan alla som kan se och ansluta till telefonen sluta stjäla bandbredd. Å andra sidan, genom att sätta allt detta bakom iCloud-kontot för säkerhet, betyder det bara att enheter som är autentiserade med iCloud och Apple kan dra fördel av hotspot-funktionen. Det är inte riktigt hur människor i allmänhet använder hotspots.
"Att känna till Apple, det kommer att vara oerhört enkelt att ställa in det för mindre" skickliga "användare, vilket innebär att de som känner till missbruk kan finnas, " sade Henderson. "Det måste finnas ett annat sätt (som den aktuella iOS Mobile Hotspot-funktionen) för att skapa en hotspot som du kanske vill att andra ska använda."
Hälsodata och integritet
HealthKit och Health.app är "kanske det största meddelandet ur ett integritetsperspektiv", sade Henderson och noterade att data i aktivitetsspårare som Fitbit, appar som övervakar hjärtfrekvens, blodtryck och blodsockernivåer och "smarta" vågar redan samlar in mycket data. "HIPAA och annan lagstiftning om hälsouppgifter kan vara en enorm, myrig myr… hur skyddar Apple specifikt din information?" han frågade.
Hälso-ID-skärmen som kan nås från låsskärmen kan vara livräddande, men den kan också missbrukas. "Vad är det för att hindra någon från att plocka upp din telefon och bestämma vilka mediciner du tar? Tänk på integritetskonsekvenserna när det gäller någon med en allvarlig kronisk sjukdom som hiv / aids, cancer, diabetes eller någon annan allvarlig sjukdom som du kan vill inte att andra ska veta om, "sade Henderson.
Vem har Spotlight Data?
Spotlight på både OS X Yosemite och iOS 8 hämtar data från olika källor, till exempel Wikipedia, kartor, Yelp-recensioner och nyhetsartiklar. Användare bör undra var Spotlight-data lagras, oavsett om det är lokalt eller på iCloud-servrar så att andra enheter kan komma åt data. Om Apple bygger kundaktivitetsprofiler liknande det som Google gör, är det värt att fråga om användare kan be Apple att ta bort den profilen när de lämnar Apple-ekosystemet.
"Googles senaste juridiska huvudvärk i EU som involverar EU-medborgare och" rätten att glömmas "borde vara en portent för Apple och andra företag som gör affärer i EU, " sade Henderson.
Det är också värt att överväga hur Apple presenterar Spotlight-sökfrågor till tredje parts webbplatser. "Även om denna information inte verkar vara så privat, samlar tredje part in data från massor av källor och korsrefererar dem för att bygga omfattande användarprofiler, " varnade Henderson.
Kolla in hela listan
Henderson skisserade en lång lista med säkerhetsfrågor och berörde den nya markeringsfunktionen i Mail.app, SMS och textmeddelanden, HomeKit, Family Sharing och mycket mer. Det är värt att kolla inlägget i sin helhet på Fortinet-bloggen.
"Till Apples kredit har de kommit långt med säkerhet, åtminstone när det gäller att ge mer information till människor, " sade Henderson. "Det är mitt hopp att Apple har gett säkerhet en primär plats i att utveckla alla dessa nya verktyg och funktioner."
