Video: OS X 10.10 Yosemite & iOS 8 : Handoff (Novembre 2024)
Come sempre, la Worldwide Developer's Conference di Apple è piena zeppa di nuove funzionalità e tecnologie. Ma queste stesse eccitanti funzionalità vengono poste con molte domande sulla privacy degli utenti e sulla sicurezza dei dati. Ne disimballiamo alcuni qui a Security Watch .
Questa settimana Apple ha presentato un lungo elenco di nuove funzionalità e tecnologie per i suoi sistemi operativi OS X Yosemite e iOS 8 al WWDC. L'attenzione alla continuità, o alla perfetta integrazione tra l'esperienza utente di OS X e iOS, può essere potenzialmente problematica per organizzazioni e utenti, ha suggerito Richard Henderson, stratega della sicurezza presso i FortiGuard Threat Research and Response Labs di Fortinet.
Henderson ha segnalato la seguente riga dal keynote del WWDC: "Ora risulta che quando lavori sul tuo Mac, i dispositivi intorno a te… si conoscono e sanno cosa stai facendo." Questa frase "dovrebbe rendere la maggior parte degli utenti attenti alla sicurezza molto preoccupati", ha detto Henderson.
I colleghi, i bambini o altri significativi con dispositivi iOS "intorno a te" possono vedere "cosa stai facendo?" chiese Henderson. "Le possibilità di monitoraggio silenzioso esistono se questo è il caso."
Quindi, mentre è allettante supporre che Apple abbia inserito la sicurezza in queste nuove funzionalità, considera prima le implicazioni di sicurezza e privacy. Un certo scetticismo sulla sicurezza è necessario per chiunque stia pensando di partecipare al programma beta pubblico.
La continuità è buona, ma dove stanno andando i miei dati?
Handoff, la funzione che consente agli utenti di iniziare a lavorare su qualcosa sull'iPad e riprendere esattamente da dove si erano interrotti sul Mac, potrebbe rivelarsi la cosa migliore che accada nell'ecosistema Apple dal debutto originale di iPhone. Sebbene sia fantastico che il tuo dispositivo iOS non sia più un'isola, la più grande domanda di sicurezza si riduce a come esattamente Apple trasmetterebbe le informazioni tra le macchine.
Forse la funzione sarebbe limitata alle macchine connesse sulla stessa rete. Altrimenti, sembra ragionevole supporre che le informazioni sui handoff vengano temporaneamente archiviate su iCloud Drive, Henderson ha affermato. Tale presupposto porta a una serie di altre domande, come ad esempio come vengono trasmessi i dati, se Apple crittografa i dati memorizzati sui server iCloud e se Apple può essere costretta a consegnare informazioni di fronte a una lettera di sicurezza nazionale o un ordine del tribunale.
Lo scenario ideale sarebbe se Apple usasse la crittografia end-to-end per Handoff, poiché i dispositivi potevano generare le chiavi private e pubbliche durante la configurazione di tutto per la prima volta, ha affermato Henderson. "Non importa se i dispositivi fossero locali o meno l'uno con l'altro: crittografa i dati utilizzando la tua chiave pubblica, inviali ai server di iCloud Drive e l'altro dispositivo li estrae e li decodifica utilizzando il privato creato in precedenza chiave ", ha detto.
È possibile abusare di hotspot senza password
Apple ha reso Instant Hotspot ancora più semplice per gli utenti di iOS 8 che desiderano condividere connessioni Internet. Fai clic sul dispositivo e voilà! Connessione internet. "(Y) non digiti mai una password e sei facilmente in rete", secondo Apple.
Ma forse il processo è troppo semplice, ha avvertito Henderson. Se Instant Hotspot funziona anche se il telefono è "seduto in una borsetta dall'altra parte della stanza", ciò potrebbe essere problematico per gli utenti in un'area pubblica come un aeroporto o una caffetteria locale, ha affermato. Da un lato, chiunque può vedere e connettersi al telefono può finire rubando la larghezza di banda. D'altra parte, mettere tutto questo dietro l'account iCloud per motivi di sicurezza significa che solo i dispositivi autenticati con iCloud e Apple possono sfruttare la funzione hotspot. Questo non è proprio il modo in cui le persone usano gli hotspot.
"Conoscendo Apple, sarà incredibilmente facile configurarlo per utenti meno" esperti ", il che significa che potrebbe esistere il potenziale di abuso da parte di coloro che conoscono", ha detto Henderson. "Dovrà esserci un altro modo (come l'attuale funzione di hotspot mobile iOS) per configurare un hotspot che potresti effettivamente desiderare che altri utilizzino."
Dati sanitari e privacy
HealthKit and Health.app è "forse il più grande annuncio dal punto di vista della privacy", ha detto Henderson, rilevando che i dati nei tracker di attività come Fitbit, le app che monitorano la frequenza cardiaca, la pressione sanguigna e i livelli di glucosio nel sangue e le bilance "intelligenti" già raccolgono molti dati. "L'HIPAA e le altre normative in materia di dati sanitari possono essere un fango enorme e paludoso… in che modo Apple protegge specificamente le tue informazioni?" chiese.
La schermata dell'ID di emergenza sanitaria a cui è possibile accedere dalla schermata di blocco può essere potenzialmente salvavita, ma può anche essere abusata. "Cosa impedisce a qualcuno di alzare il telefono e determinare quali farmaci stai assumendo? Pensa alle implicazioni sulla privacy quando si tratta di qualcuno con una grave malattia cronica come l'HIV / AIDS, il cancro, il diabete o qualsiasi altra malattia grave che potresti non voglio che gli altri lo sappiano ", ha detto Henderson.
Chi ha i dati Spotlight?
Spotlight su OS X Yosemite e iOS 8 recupererà i dati da varie fonti, come Wikipedia, Maps, recensioni di Yelp e articoli di notizie. Gli utenti dovrebbero chiedersi dove vengono archiviati i dati Spotlight, sia che si trovino localmente o su server iCloud in modo che altri dispositivi possano accedere ai dati. Se Apple sta creando profili di attività dei clienti simili a quelli di Google, vale la pena chiedere agli utenti se possono chiedere a Apple di rimuovere quel profilo quando escono dall'ecosistema Apple.
"I recenti mal di testa legali di Google nell'UE che coinvolgono cittadini dell'UE e il" diritto all'oblio "dovrebbero rappresentare un presagio per Apple e altre società che svolgono attività commerciali nell'UE", ha affermato Henderson.
Vale anche la pena considerare come Apple presenta query di ricerca Spotlight a siti di terze parti. "Sebbene tali informazioni non sembrino così private, terze parti raccolgono dati da decine di fonti e li incrociano per creare profili utente completi", ha avvertito Henderson.
Dai un'occhiata all'elenco completo
Henderson ha delineato un lungo elenco di domande sulla sicurezza, toccando la nuova funzione di markup in Mail.app, SMS e messaggi di testo, HomeKit, Condivisione di famiglia e molto altro ancora. Vale la pena dare un'occhiata al post nella sua interezza sul blog Fortinet.
"Per il merito di Apple, hanno fatto molta strada con la sicurezza, almeno quando si tratta di fornire maggiori informazioni alle persone", ha detto Henderson. "Spero che Apple abbia dato alla sicurezza un posto primario nello sviluppo di tutti questi nuovi strumenti e funzionalità."