Ключови изводи
- Новоразкритите уязвимости в приложението за намиране на устройства на Apple могат да разкрият вашето местоположение и самоличност.
- Приложението използва мрежа от милиони устройства, за да локализира „изгубени“, несвързани устройства с помощта на Bluetooth.
- Хакери могат да получат неупълномощен достъп до историята на местоположенията ви за последните седем дни и да я свържат с вашата самоличност.
Системата за проследяване на местоположението, която ви помага да намирате устройства на Apple, също може да разкрие самоличността ви, казват изследователите.
Офлайн намирането ви позволява да намирате устройства на Apple, дори ако не са свързани към интернет. Apple каза, че приложението защитава поверителността на потребителите, но докладваните пропуски в сигурността на софтуера показват, че анонимността е трудна за намиране в интернет. Според скорошна статия, публикувана от изследователи от Техническия университет в Дармщат в Германия, хакерите могат да получат неоторизиран достъп до историята на местоположенията ви за последните седем дни и да я свържат с вашата самоличност.
„Това наистина ни показва, че нищо никога не е 100% сигурно и дори след корекциите на Apple, нападателите в крайна сметка ще намерят нови уязвимости, които да използват,“Джейсън Гласбърг, съосновател на фирмата за киберсигурност Casaba Security, каза в интервю по имейл. „По-големият проблем тук е, че поверителността на потребителите никога не може да бъде гарантирана и хората трябва да променят нагласата си от идеята да бъдат „лични“към реалността просто да бъдат „по-малко експлоатирани“.“
Намерете и идентифицирайте
Екипът от Дармщат откри, че „цялостният дизайн постига специфичните цели на Apple“за поверителността, но те откриха две уязвимости, „които изглеждат извън модела на заплахите на Apple“и могат да имат сериозни последствия.
По-големият проблем тук е, че поверителността на потребителите никога не може да бъде гарантирана.
Експертите обаче казват, че не трябва да се тревожите твърде много за тези недостатъци.
"Въпреки че бяха открити два пропуска в сигурността във функцията за офлайн намиране на Apple, нито един от тях не беше особено сериозен и няма докладвани случаи на използване на тези уязвимости в дивата природа", Пол Бишоф, експерт по поверителност за Comparitech, каза в интервю по имейл. „Apple вече коригира по-сериозната от двете уязвимости, така че собствениците на iPhone трябва да актуализират своите устройства възможно най-скоро.“
Един недостатък в приложението би позволил на Apple да проследява местоположението на потребителите, което би било в противоречие с политиката му за поверителност, каза Бишоф. „Като се има предвид това, няма доказателства, които да предполагат, че Apple се е възползвала от тази уязвимост и изследователите не казаха, че може да бъде използвана от нападател от трета страна.“
Друга грешка позволи на хакер да получи достъп до историята на местоположенията, съхранена на iPhone, въпреки че първо трябваше да зарази iPhone със зловреден софтуер. Въпреки че Apple може да е коригирал този проблем, недостатъците в приложението „Find My“показват как данните за местоположението могат да разкрият къде живее и работи някой.
"Например, ако даден потребител има конкретно мобилно приложение за колата си, GPS поток може да идентифицира тенденциите на този потребител, когато напусне офиса, което може да го изложи на кражба на кола", Марк Питман, главен изпълнителен директор на Blyncsy, компания за движение и разузнаване на данни, каза в интервю по имейл. „По същия начин, ако потребител споделя GPS от приложение за запознанства, той може да бъде използван от хищник за проследяване и потенциално нападение над потребител.“
Как да се предпазите
Да предположим, че се притеснявате, че самоличността ви ще бъде разкрита. В този случай можете да се откажете от мрежата „Find My“в настройките на приложението Find My iPhone, посочи експертът по киберсигурност Крис Хейзълтън, директор решения за сигурност в Lookout, в интервю по имейл.
"Ако искат да бъдат двойно сигурни, потребителите могат да изключат Bluetooth, който се използва за свързване със загубени устройства", каза Хейзълтън. „Въпреки че е трудно да спрете проследяването на местоположението ви като цяло, една най-добра практика е да не позволявате на нито едно приложение да проследява местоположението ви непрекъснато.“
Решението дали да се включи в услугата „Намери моя“се свежда до потребителя, каза Хейзълтън. Те трябва да решат дали ползите от услугата за местоположение надвишават рисковете от споделянето на тяхното местоположение.
"За услуги като Find My iPhone", добави той, "повечето потребители, които са загубили устройството си, вероятно ще кажат да."
