Applen tämän viikon WWDC-tiedotuksissa on keskitytty vahvasti tietoturvaan ja yksityisyyteen. Yhdysvaltalaisella teknologiajätillä on ollut muutama vaikea kuukausi, jolloin on raportoitu useista ongelmista ja haavoittuvuuksista, ja nyt se näyttäisi haluavan siirtyä kaiken tämän ohi ja tuoda uudelleen esiin tietoturva- ja yksityisyydensuojaa koskevat valtakirjansa ja erottautua kilpailijoista.
Mutta Apple ei aina onnistu tässä oikein, kuten täydellisesti havainnollistaa tietoturvaongelma, jonka se alun perin kiisti, mutta on nyt yhtäkkiä vahvistanut julkaisemalla korjauksen. Korjaus ei kuitenkaan ole vielä saatavilla, joten käyttäjät ovat vaarassa. Se tulee iOS 14:n mukana, jonka on määrä tulla syksyllä.
Takaisin helmikuussa kerroin ongelmasta Applen leikepöytätoiminnossa. Kuten tietoturvatutkijat Talal Haj Bakry ja Tommy Mysk paljastivat, minkä tahansa iOS-laitteen leikepöydälle kopioidun tiedon voi lukea mikä tahansa aktiivinen sovellus. Ei ole ilmoitusta, ei asetusta, joka rajoittaisi sovelluksen kykyä päästä käsiksi käyttäjän tietoihin; haavoittuvuus on piilotettu – käyttäjillä ei ole mitään keinoa kertoa, milloin sovellus saattaa varastaa heidän tietojaan.
LISÄTIETOJA FORBESSistaYksinkertainen Applen tietoturvahyökkäys: Jos omistat iPhonen ja MacBookin, katso nyt muualleToimittaja Zak Doffman
Kaikkein pahempaa on se, että tutkijat kertoivat, että ”tämä haavoittuvuus voi koskea myös universaaliin leikepöydän toimintaan, jolloin se voi myöskin salakuunnella sitä, mitä käyttäjiä kopioidaan.” Tämä tarkoittaa sitä, että jos kopioit jotain Macilla, iPhonen sovellus voi lukea sen. Ja koska meillä on tapana käyttää kopiointia ja liittämistä enemmän työpöydällä tai kannettavassa tietokoneessa kuin puhelimessa, tämä tekee ongelmasta paljon vakavamman todellisessa maailmassa.
”Saimme monia pyyntöjä tästä kohdasta”, tutkijat kertoivat minulle, ”että lisäsimme videon, joka havainnollistaa, miten iPhonen tai iPadin sovellus voi salakuunnella leikepöydän tietoja Macissa.”
Epäselvyyksistä raportoitiin Applelle jo tammikuussa. ”Analysoituamme lähetyksen”, tutkijat selittivät, ”Apple ilmoitti meille, että he eivät näe tässä haavoittuvuudessa ongelmaa.” Pohjimmiltaan Applen näkemys näytti olevan, että kyseessä oli sen leikepöytätoiminto, joka toimi suunnitellusti. Mitään korjattavaa ongelmaa ei ollut – tässä ei ollut mitään nähtävää.
LISÄÄ FORBESISTA Varo, jos käytät TikTokia iPhonellasi: Here’s Why You Should Now Worry-New Security ReportBy Zak Doffman
Tutkijat julkaisivat jopa jatkotutkimuksen, jossa he esittelivät tapaa, jolla TikTokin kaltaiset sovellukset, jotka ovat herättäneet paljon omia tietoturvaongelmiaan, ”lukevat leikepöydän sisällön aina kun se avataan”. Ja vaikka tutkijat myönsivät, että ”emme voi sanoa varmasti, mitä TikTok tekee lukemillaan tiedoilla”, tämä oli selvästi huolenaihe. TikTok puolestaan kertoi, että kyseessä oli ongelma Google Ads SDK:n kanssa ja sitä korjataan parhaillaan. Siitä huolimatta Applen ei olisi pitänyt antaa asian tapahtua alun alkaenkaan.
Tutkijat olivat hyvin selkeitä heti ensimmäisestä paljastuksestaan lähtien. Applen pitäisi sisällyttää sovelluskohtainen yksityisyysasetus, jolla leikepöydän käyttö sallitaan tai poistetaan käytöstä. Ja ainakin sen pitäisi vilkuttaa näytöllä ilmoitus, kun sovellus käyttää leikepöytää. ”Estääkseen sovelluksia käyttämästä leikepöytää hyväkseen”, tutkijat sanoivat jo helmikuussa. ”Applen on toimittava.”
Nyt, vaikka se kiistääkin, että kyseessä on ongelma, se on tarpeeksi vakava, jotta se on syytä korjata erikseen iOS 14:ssä. ”Vaikka Apple ilmoitti meille, että se ei ollut ongelma, kun raportoimme siitä aiemmin tänä vuonna”, Mysk kertoi, ”luulen, että Apple kuunteli vaatimuksia ja harkitsi uudelleen alkuperäisiä ajatuksiaan ongelmasta – he korjasivat sen juuri sillä tavalla, jota suosittelimme artikkelissamme.” Mysk totesi myös, että ilmoitus ”poikkeaa normaaleista iOS-bannereista – tämä osoittaa, että Apple suunnitteli tämän nimenomaan leikepöydän käyttöä varten.”
Tämä on hyvä siirto – kyseessä on aito ongelma ja se pitää korjata. Olisi kuitenkin ollut parempi, jos Apple olisi sanonut saman jo helmi- ja maaliskuussa, kun asia otettiin ensimmäisen kerran esille, sen sijaan, että se olisi näyttänyt hylkäävän huolen. Lähestyin silloin Applea kommenttien saamiseksi, mutta en saanut yhtään kommenttia, ja olen tehnyt samoin tällä kertaa, ja korjaus on nyt tarkoitus tehdä muutaman kuukauden kuluttua.
”Olen erittäin iloinen, että tutkimuksemme on johtanut näin suureen muutokseen, joka varmasti suojelee käyttäjien yksityisyyttä entisestään”, Mysk kertoi. ”Haluaisin mainita, että lähestyimme Applea kommentin saamiseksi sen jälkeen, kun löysimme korjauksen. Applen vastaus oli erittäin nopea ja myönteinen, ja he pyysivät meiltä attribuutiotietoja.”
Seuraa minua Twitterissä tai LinkedInissä.