Apple’s WWDC ogłoszenia w tym tygodniu miał ciężki nacisk na bezpieczeństwo i prywatność. Amerykański gigant technologiczny miał trudne kilka miesięcy, z wielu problemów i luk zgłoszonych, a teraz najwyraźniej chce przejść przez to wszystko, aby ponownie potwierdzić swoje referencje bezpieczeństwa i prywatności, ustawiając się od konkurencji.
Ale Apple nie zawsze dostać to prawo, jak doskonale ilustruje problem bezpieczeństwa, że pierwotnie zaprzeczył, ale teraz nagle potwierdzone przez wydanie poprawki. Ta poprawka nie jest jeszcze dostępna, chociaż, pozostawiając użytkowników na ryzyko. Będzie pochodzić z iOS 14, należy w fall.
Back w lutym, I poinformował o problemie z Apple funkcji schowka. Jak ujawniono przez badaczy bezpieczeństwa Talal Haj Bakry i Tommy Mysk, wszelkie dane skopiowane do schowka na urządzeniu z systemem iOS mogą być odczytywane przez każdą aktywną aplikację. Nie ma powiadomienia, nie ma ustawienia, aby ograniczyć zdolność aplikacji do dostępu do informacji użytkownika; luka jest ukryta – użytkownicy nie mają sposobu, aby powiedzieć, kiedy aplikacja może być kradzież danych.
WIĘCEJ OD FORBESSimple Apple Security Hack: If You Have An iPhone And MacBook, Look Away NowBy Zak Doffman
Worse, badacze powiedzieli mi, „Universal Clipboard może być również dotknięte przez tę lukę do podsłuchiwania, co użytkownicy kopiują.” Co to oznacza, że jeśli skopiujesz coś na komputerze Mac, może to być odczytane przez aplikację na iPhonie. A biorąc pod uwagę, że mamy tendencję do korzystania z kopiowania i wklejania więcej na komputerze stacjonarnym lub laptopie niż na telefonie, to sprawia, że problem jest znacznie bardziej poważne w świecie rzeczywistym.
„Dostaliśmy wiele próśb o tym punkcie,” naukowcy powiedzieli mi, „że dodaliśmy wideo ilustrujące, jak iPhone lub iPad aplikacja może podsłuchiwać schowka na Mac.”
Problem został zgłoszony do Apple z powrotem w styczniu. „Po przeanalizowaniu zgłoszenia,” wyjaśnili badacze, „Apple poinformował nas, że nie widzi problemu z tą luką.” W istocie, pogląd Apple wydawał się być taki, że była to jego funkcja schowka działająca zgodnie z planem. Nie było żadnego problemu do naprawienia – nic do zobaczenia tutaj.
WIĘCEJ Z FORBESBeware Jeśli używasz TikTok na swoim iPhonie: Here’s Why You Should Now Worry-New Security ReportBy Zak Doffman
Badacze nawet wydany kontynuację, pokazując sposób, w jaki aplikacje takie jak TikTok, który podniósł wiele własnych obaw o bezpieczeństwo, „czytać zawartość schowka, gdy jest otwarty.” I chociaż badacze przyznali, że „nie możemy powiedzieć na pewno, co TikTok robi z danymi, które przeczytał”, było to wyraźnie niepokojące. Ze swojej strony, TikTok powiedział mi, że był to problem z Google Ads SDK i został naprawiony. To powiedział, Apple nie powinien był pozwolić, aby to się stało w pierwszej kolejności.
Badacze byli bardzo jasne od ich początkowego ujawnienia dalej. Apple powinien zawierać ustawienia prywatności, app by app, umożliwiając lub wyłączając dostęp do schowka. I, co najmniej, powinien migać powiadomienie na ekranie, gdy aplikacja nie dostęp do schowka, „aby zapobiec aplikacje z wykorzystywania tablicy wklejania”, badacze powiedział w lutym, „Apple musi działać.”
Cóż, pomimo zaprzeczania, że jest to problem, to jest wystarczająco poważne dla konkretnego poprawki w iOS 14. „Nawet jeśli Apple poinformował nas, że to nie był problem, kiedy zgłosiliśmy to wcześniej w tym roku,” Mysk powiedział mi, „Myślę, że Apple słuchał żądań i ponownie rozważył swoje początkowe myśli o problemie-naprawili go dokładnie tak, jak zalecaliśmy w naszym artykule.” Mysk zauważył również, że powiadomienie „różni się od normalnych banerów iOS – to pokazuje Apple specjalnie zaprojektowane to dla dostępu do schowka.”
To jest dobry ruch – jest to prawdziwy problem i wymaga naprawy. Byłoby lepiej, choć, gdyby Apple powiedział tyle w lutym i marcu, kiedy to zostało po raz pierwszy podniesione, zamiast wydawać się odrzucać obawy. Zwróciłem się do Apple wtedy dla wszelkich komentarzy, z żadnym nie otrzymał, i zrobił to samo tym razem wokół, z poprawką teraz należy w kilka miesięcy time.
„I bardzo się cieszę, że nasze badania doprowadziły do takiej dużej zmiany, która z pewnością będzie strzec prywatności użytkowników dalej,” Mysk powiedział mi, „Chciałbym wspomnieć, że zwróciliśmy się do Apple o komentarz po odkryliśmy poprawkę. Odpowiedź Apple była bardzo szybka i pozytywna i poprosili nas o informacje o atrybucji.”
Śledź mnie na Twitterze lub LinkedIn.