Sleutel wegneemetes
- Nuut onthulde kwesbaarhede in Apple se toestelsoek-toepassing kan jou ligging en identiteit openbaar.
- Die toepassing gebruik 'n skare-verkreë netwerk van miljoene toestelle om "verlore," ongekoppelde toestelle met Bluetooth op te spoor.
- Hackers kan ongemagtigde toegang tot jou ligginggeskiedenis vir die afgelope sewe dae kry en dit met jou identiteit korreleer.
Die liggingopsporingstelsel wat jou help om Apple-toestelle te vind, kan ook jou identiteit blootlê, sê navorsers.
Offline Finding laat jou toe om Apple-toestelle op te spoor, selfs al is hulle nie aan die internet gekoppel nie. Apple het gesê die toepassing beskerm gebruikers se privaatheid, maar gerapporteerde sekuriteitsfoute in die sagteware toon dat anonimiteit moeilik op die internet verkry kan word. Volgens 'n onlangse referaat wat deur navorsers van die Tegniese Universiteit van Darmstadt in Duitsland gepubliseer is, kan kuberkrakers ongemagtigde toegang tot jou ligginggeskiedenis vir die afgelope sewe dae kry en dit met jou identiteit korreleer.
"Wat dit regtig vir ons wys, is dat niks ooit 100% veilig is nie, en selfs ná Apple se pleisters, sal aanvallers uiteindelik nuwe kwesbaarhede vind om te ontgin," het Jason Glassberg, medestigter van die kuberveiligheidsfirma Casaba Security, gesê. 'n e-pos onderhoud. "Die groter kwessie hier is dat gebruikersprivaatheid nooit gewaarborg kan word nie, en mense moet hul denkraamwerk verander van die idee om 'privaat' te wees na die werklikheid om bloot 'minder uitgebuit' te word."
Vind en identifiseer
Die Darmstadt-span het gevind dat "die algehele ontwerp Apple se spesifieke doelwitte bereik" vir privaatheid, maar hulle het twee kwesbaarhede ontdek "wat blykbaar buite Apple se bedreigingsmodel is" en ernstige gevolge kan hê.
Die groter probleem hier is dat gebruikerprivaatheid nooit gewaarborg kan word nie.
Kenners sê jy moenie jou egter te veel oor hierdie foute bekommer nie.
"Alhoewel twee sekuriteitsfoute in Apple se Offline Finding-funksie gevind is, was nie een van hulle besonder ernstig nie, en daar is geen voorvalle gerapporteer dat hierdie kwesbaarhede in die natuur uitgebuit is nie," Paul Bischoff, 'n privaatheidskenner vir Comparitech, het in 'n e-posonderhoud gesê. "Apple het reeds die ernstiger van die twee kwesbaarhede reggemaak, so iPhone-eienaars moet hul toestelle so gou moontlik opdateer."
Een fout in die toepassing sal Apple in staat stel om gebruikers se liggings op te spoor, wat teen sy privaatheidsbeleid sou intree, het Bischoff gesê. "Dit gesê, daar is geen bewyse wat daarop dui dat Apple hierdie kwesbaarheid benut het nie, en die navorsers het nie gesê dit kan deur 'n derdeparty-aanvaller uitgebuit word nie."
Nog 'n fout het 'n aanvaller toegelaat om toegang te verkry tot ligginggeskiedenis wat op 'n iPhone gestoor is, hoewel hulle eers 'n iPhone met wanware moes besmet. Alhoewel Apple dalk hierdie probleem reggemaak het, beklemtoon die foute in die "Vind My"-toepassing hoe liggingdata kan openbaar waar iemand woon en werk.
"As 'n gebruiker byvoorbeeld 'n spesifieke mobiele toepassing vir hul motor het, kan 'n GPS-stroom die neigings van daardie gebruiker identifiseer wanneer hulle die kantoor verlaat wat hulle kan blootstel aan motorkaping," Mark Pittman, HUB van Blyncsy, 'n beweging- en data-intelligensiemaatskappy, in 'n e-posonderhoud gesê. "Net so, as 'n gebruiker GPS vanaf 'n afspraaktoepassing deel, kan dit deur 'n roofdier gebruik word om 'n gebruiker op te spoor en moontlik aan te rand."
Hoe om jouself te beskerm
Sê nou jy is bekommerd dat jou identiteit ontbloot word. In daardie geval kan jy onttrek van die "Vind My"-netwerk in die Vind My iPhone-toepassinginstellings, het die kuberveiligheidskenner Chris Hazelton, direkteur van sekuriteitsoplossings by Lookout, in 'n e-posonderhoud uitgewys.
"As hulle dubbel seker wil wees, kan gebruikers Bluetooth afskakel, wat gebruik word om aan verlore toestelle te koppel," het Hazelton gesê. "Hoewel dit moeilik is om te keer dat jou ligging in die algemeen nagespoor word, is een beste praktyk om nie toe te laat dat enige toepassing jou ligging deurlopend naspoor nie."
Die besluit om in te teken op die "Vind My"-diens kom by die gebruiker af, het Hazelton gesê. Hulle moet besluit of die voordele van liggingdiens swaarder weeg as die risiko's om hul ligging te deel.
"Vir dienste soos Find My iPhone," het hy bygevoeg, "sal die meeste gebruikers wat hul toestel verloor het waarskynlik ja sê."
