Video: OS X 10.10 Yosemite - новый инструментарий разработчика, часть 1 (Nobyembre 2024)
Tulad ng nakagawian, ang Worldwide Developer's Conference ng Apple ay chock na puno ng mga bagong tampok at teknolohiya. Ngunit ang parehong kapana-panabik na tampok na ito ay may maraming mga katanungan tungkol sa privacy ng gumagamit at seguridad ng data. I-unpack namin ang ilan sa mga ito dito sa Security Watch .
Ibinunyag ng Apple ang isang mahabang listahan ng mga bagong tampok at teknolohiya para sa OS X Yosemite at iOS 8 na operating system sa WWDC ngayong linggo. Ang pokus sa pagpapatuloy, o ang walang tahi na pagsasama sa pagitan ng karanasan ng gumagamit ng OS X at iOS, maaaring potensyal na maging problemado para sa mga organisasyon at mga gumagamit, iminungkahi ni Richard Henderson, isang security strategist sa Fortinet's FortiGuard Threat Research and Response Labs.
Hudyat ni Henderson ang sumusunod na linya mula sa keynote ng WWDC: "Lumiliko ngayon na kapag nagtatrabaho ka sa iyong Mac, ang mga aparato sa paligid mo … ay may kamalayan sa bawat isa at may kamalayan sa kung ano ka hanggang sa." Ang pangungusap na ito ay "dapat gawin ang karamihan sa mga gumagamit ng kamalayan ng seguridad na nababahala, " sinabi ni Henderson.
Maaari ba ang mga katrabaho, bata, o makabuluhang iba pa na may mga aparato ng iOS "sa paligid mo" makita "kung ano ang napapanatili mo?" tanong ni Henderson. "Ang mga posibilidad para sa tahimik na pagsubaybay ay umiiral kung ito ang kaso."
Kaya't habang nakatutukso upang ipalagay ang inihaw ng seguridad ng Apple sa mga bagong tampok na ito, isaalang-alang muna ang mga implikasyon sa seguridad at privacy. Ang ilang pag-aalinlangan ng seguridad ay kinakailangan para sa sinumang nag-iisip tungkol sa pakikilahok sa programang pampublikong beta.
Ang pagpapatuloy ay Nice, Ngunit Nasaan ang Aking Data Pupunta?
Ang Handoff, ang tampok na nagpapahintulot sa mga gumagamit na magsimulang magtrabaho sa isang bagay sa iPad at kunin nang eksakto kung saan sila tumigil sa Mac, ay maaaring maging pinakamahusay na bagay na mangyari sa ekosistema ng Apple mula noong orihinal na pasinaya ng iPhone. Habang ito ay mahusay na ang iyong aparato ng iOS ay hindi na isang isla, ang pinakamalaking tanong ng seguridad ay bumabalot sa kung paano eksaktong ihahatid ng Apple ang impormasyon sa pagitan ng mga makina.
Marahil ang tampok na ito ay limitado sa mga makina na konektado sa parehong network. Kung hindi man, tila makatwiran na ipalagay ang impormasyon ng handoff ay pansamantalang nakaimbak sa iCloud Drive, sinabi ni Henderson. Ang palagay na iyon ay humahantong sa isang buong hanay ng iba pang mga katanungan, tulad ng kung paano ipinadala ang data, kung na-encrypt ng Apple ang data na nakaimbak sa mga server ng iCloud, at kung ang Apple ay maaaring mapilit na ibigay ang impormasyon kapag nahaharap sa isang Pambansang Seguridad ng Seguridad o utos ng korte. .
Ang perpektong senaryo ay kung ginamit ng Apple ang end-to-end encryption para sa Handoff, dahil ang mga aparato ay maaaring makabuo ng pribado at pampublikong mga susi kapag itinakda ang lahat sa unang pagkakataon, sinabi ni Henderson. "Hindi mahalaga kung ang mga aparato ay lokal sa bawat isa o hindi - i-encrypt lamang ang data na iyon gamit ang iyong pampublikong susi, ipadala ito sa mga server ng iCloud Drive, at ibabunot ito ng iyong iba pang aparato at i-decrypts ito gamit ang dating nilikha ng pribadong key, "aniya.
Maaaring Mag-abuso sa Mga Hotspot ng Mga Password
Ginawa ng Apple ang Instant Hotspot kahit na mas simple para sa mga iOS 8 na gumagamit na nais magbahagi ng mga koneksyon sa Internet. Mag-click sa aparato, at voila! Internet connection. "(Y) ou ay hindi kailanman nagta-type ng password, at madali kang nasa network, " ayon sa Apple.
Ngunit marahil ang proseso ay napakadali, binalaan si Henderson. Kung gumagana ang Instant Hotspot kahit na ang telepono ay "nakaupo sa isang hanbag sa kabilang bahagi ng silid, " maaaring ito ay may problema sa mga gumagamit sa isang pampublikong lugar tulad ng isang paliparan o lokal na tindahan ng kape, aniya. Sa isang banda, ang sinumang makakakita at kumonekta sa telepono ay maaaring i-wind up ang pagnanakaw ng bandwidth. Sa kabilang banda, ang paglalagay ng lahat ng ito sa likod ng iCloud account para sa seguridad ay nangangahulugan lamang ang mga aparato na napatunayan na may iCloud at Apple ay maaaring samantalahin ang tampok na hotspot. Iyon ay hindi lubos kung paano karaniwang ginagamit ng mga tao ang mga hotspot.
"Ang pag-alam sa Apple, ito ay magiging hindi kapani-paniwalang madaling i-set up ito para sa mas kaunting 'bihasang' mga gumagamit, na nangangahulugang potensyal para sa pang-aabuso ng mga nasa alam na maaaring umiiral, " sabi ni Henderson. "Magkakaroon ng isa pang paraan (tulad ng kasalukuyang tampok ng iOS Mobile Hotspot) upang mag-set up ng isang hotspot na maaari mong talagang gusting gamitin ng iba."
Data ng Kalusugan at Pagkapribado
Ang HealthKit at Health.app ay "marahil ang pinakamalaking pag-anunsyo mula sa isang pananaw sa pagkapribado, " sabi ni Henderson, na tandaan na ang data sa mga tracker ng aktibidad tulad ng Fitbit, pagsubaybay ng apps sa rate ng puso, presyon ng dugo at mga antas ng glucose sa dugo, at "matalinong" timbangin ng mga timbangan na nakolekta maraming data. "Ang HIPAA at iba pang batas sa data ng pangangalagang pangkalusugan ay maaaring maging isang malaking, swampy mire … paano partikular na pinoprotektahan ng Apple ang iyong impormasyon?" tanong niya.
Ang screen ng emergency emergency ID na maaaring ma-access mula sa lockscreen ay maaaring potensyal na makatipid ng buhay, ngunit maaari rin itong maiabuso. "Ano ang pipigilan ng isang tao na kunin ang iyong telepono at matukoy kung anong mga gamot ang iyong iniinom? Isipin ang mga implikasyon sa privacy pagdating sa isang taong may malubhang sakit na talamak tulad ng HIV / AIDS, cancer, diabetes, diabetes o anumang iba pang malubhang sakit na maaari mong hindi nais ng iba na malaman tungkol sa, "sinabi ni Henderson.
Sino ang May Spotlight Data?
Ang Spotlight sa parehong OS X Yosemite at iOS 8 ay kukuha ng data mula sa iba't ibang mga mapagkukunan, tulad ng Wikipedia, Maps, mga pagsusuri sa Yelp, at mga artikulo sa balita. Ang mga gumagamit ay dapat magtaka kung saan ang data ng Spotlight ay naka-imbak, lokal man ito o sa mga server ng iCloud upang ang iba pang mga aparato ay maaaring ma-access ang data. Kung ang Apple ay nagtatayo ng mga profile ng aktibidad ng customer na katulad ng ginagawa ng Google, sulit na tanungin kung ang mga gumagamit ay maaaring tanungin ang Apple na alisin ang profile na iyon kapag iniwan nila ang Apple ecosystem.
"Ang pinakahuling ligal na pananakit ng ulo ng Google sa EU na kinasasangkutan ng mga mamamayan ng EU at ang 'karapatang makalimutan' ay dapat maging isang portent para sa Apple at iba pang mga kumpanya na gumagawa ng negosyo sa EU, " sinabi ni Henderson.
Sulit din na isinasaalang-alang kung paano inihahatid ng Apple ang mga query sa paghahanap ng Spotlight sa mga site ng third-party. "Habang ang impormasyong iyon ay hindi tila lahat na pribado, ang mga ikatlong partido ay nangongolekta ng data mula sa mga marka ng mga mapagkukunan at cross-reference ang mga ito upang bumuo ng mga komprehensibong profile ng gumagamit, " babala ni Henderson.
Suriin ang Buong Listahan
Binalangkas ni Henderson ang isang mahabang listahan ng mga katanungan sa seguridad, na hawakan ang bagong tampok na mark up sa Mail.app, SMS at text messaging, HomeKit, Pagbabahagi ng Pamilya, at marami pang iba. Ito ay nagkakahalaga upang suriin ang post sa kabuuan nito sa Fortinet blog.
"Sa kredito ng Apple, matagal silang nakarating sa seguridad, hindi bababa sa pagdating ng pagbibigay ng maraming impormasyon sa mga tao, " sabi ni Henderson. "Inaasahan ko na ang Apple ay nagbigay ng seguridad sa pangunahing lugar sa pagbuo ng lahat ng mga bagong tool at tampok na ito."
