Ключевые выводы
- Недавно обнаруженные уязвимости в приложении Apple для поиска устройств могут раскрыть ваше местоположение и личность.
- Приложение использует краудсорсинговую сеть из миллионов устройств для поиска «потерянных», неподключенных устройств с помощью Bluetooth.
- Хакеры могут получить несанкционированный доступ к вашей истории местоположений за последние семь дней и сопоставить ее с вашей личностью.
Система отслеживания местоположения, которая помогает вам находить устройства Apple, также может раскрыть вашу личность, говорят исследователи.
Автономный поиск позволяет находить устройства Apple, даже если они не подключены к Интернету. Apple заявила, что приложение защищает конфиденциальность пользователей, но сообщения о недостатках безопасности в программном обеспечении показывают, что в Интернете трудно найти анонимность. Согласно недавней статье, опубликованной исследователями из Технического университета Дармштадта в Германии, хакеры могут получить несанкционированный доступ к вашей истории местоположений за последние семь дней и сопоставить ее с вашей личностью.
«Это действительно показывает нам, что ничто никогда не является безопасным на 100%, и даже после исправлений Apple злоумышленники в конечном итоге найдут новые уязвимости для использования», - сказал Джейсон Глассберг, соучредитель фирмы по кибербезопасности Casaba Security. интервью по электронной почте. «Большая проблема здесь заключается в том, что конфиденциальность пользователей никогда не может быть гарантирована, и люди должны изменить свое мышление с идеи «приватности» на реальность просто «меньше эксплуатации».
Найти и идентифицировать
Команда из Дармштадта обнаружила, что «общий дизайн соответствует конкретным целям Apple» в отношении конфиденциальности, но они обнаружили две уязвимости, «которые, похоже, не входят в модель угроз Apple» и могут иметь серьезные последствия.
Большая проблема здесь в том, что конфиденциальность пользователей никогда не может быть гарантирована.
Эксперты говорят, что не стоит слишком беспокоиться об этих недостатках.
«Несмотря на то, что в функции Apple Offline Finding были обнаружены две уязвимости в системе безопасности, ни одна из них не была особенно серьезной, и не было сообщений о случаях использования этих уязвимостей в реальных условиях», - Пол Бишофф, эксперт по конфиденциальности Comparitech., - говорится в интервью по электронной почте. «Apple уже исправила более серьезную из двух уязвимостей, поэтому владельцам iPhone следует обновить свои устройства как можно скорее».
Один недостаток в приложении позволит Apple отслеживать местоположение пользователей, что противоречит ее политике конфиденциальности, сказал Бишофф. «При этом нет никаких доказательств того, что Apple воспользовалась этой уязвимостью, и исследователи не говорят, что ею может воспользоваться сторонний злоумышленник».
Еще одна ошибка позволила злоумышленнику получить доступ к истории местоположений, хранящейся на iPhone, хотя сначала им нужно было заразить iPhone вредоносным ПО. Хотя Apple, возможно, исправила эту проблему, недостатки в приложении «Найти меня» показывают, как данные о местоположении могут показывать, где кто-то живет и работает.
«Например, если у пользователя есть специальное мобильное приложение для его автомобиля, поток GPS может определить тенденции этого пользователя, когда они покидают офис, что может подвергнуть их риску угона автомобиля», - Марк Питтман, генеральный директор Blyncsy., компания по анализу движения и данных, заявила в интервью по электронной почте. «Точно так же, если пользователь делится GPS из приложения для знакомств, он может быть использован злоумышленником для отслеживания и потенциального нападения на пользователя».
Как защитить себя
Предположим, вы обеспокоены раскрытием вашей личности. В этом случае вы можете отказаться от сети «Найти меня» в настройках приложения «Найти iPhone», отметил в интервью по электронной почте эксперт по кибербезопасности Крис Хейзелтон, директор по решениям безопасности в Lookout.
«Если они хотят быть вдвойне уверены, пользователи могут отключить Bluetooth, который используется для подключения к потерянным устройствам», - сказал Хейзелтон. «Хотя трудно запретить отслеживание вашего местоположения в целом, одна из лучших практик - не позволять никакому приложению отслеживать ваше местоположение постоянно».
Решение о том, использовать ли услугу «Найти меня», принимает пользователь, сказал Хейзелтон. Им необходимо решить, перевешивают ли преимущества службы определения местоположения риски, связанные с передачей информации о своем местоположении.
«Что касается таких сервисов, как «Найти iPhone», - добавил он, - большинство пользователей, потерявших свое устройство, скорее всего, скажут да».
