Key takeaways
- Nylig avslørte sårbarheter i Apples enhetssøk-app kan avsløre posisjonen din og identiteten din.
- Appen bruker et publikumsbasert nettverk med millioner av enheter for å finne "tapt" ikke-tilkoblede enheter ved hjelp av Bluetooth.
- Hackere kan få uautorisert tilgang til posisjonsloggen din de siste sju dagene og korrelere den med identiteten din.
Plasseringssporingssystemet som hjelper deg å finne Apple-enheter kan også avsløre identiteten din, sier forskere.
Offline Finding lar deg finne Apple-enheter selv om de ikke er koblet til internett. Apple har sagt at appen beskytter brukernes personvern, men rapporterte sikkerhetsfeil i programvaren viser at det er vanskelig å finne anonymitet på internett. Ifølge en nylig artikkel publisert av forskere fra det tekniske universitetet i Darmstadt i Tyskland, kan hackere få uautorisert tilgang til posisjonshistorikken din de siste syv dagene og korrelere den med identiteten din.
"Det dette virkelig viser oss er at ingenting noensinne er 100 % sikkert, og selv etter Apples patcher vil angripere til slutt finne nye sårbarheter å utnytte," sa Jason Glassberg, medgründer av nettsikkerhetsfirmaet Casaba Security, i et e-postintervju. "Det større problemet her er at brukernes personvern aldri kan garanteres, og folk må endre sinnstilstanden fra ideen om å være 'privat' til virkeligheten om å bli 'mindre utnyttet'."
Finn og identifiser
Darmstadt-teamet fant ut at "den overordnede designen oppnår Apples spesifikke mål" for personvern, men de oppdaget to sårbarheter "som ser ut til å være utenfor Apples trusselmodell" og kan få alvorlige konsekvenser.
Det største problemet her er at brukernes personvern aldri kan garanteres.
Eksperter sier imidlertid at man ikke skal bekymre seg for mye om disse feilene.
"Selv om det ble funnet to sikkerhetsfeil i Apples funksjon for frakoblet finning, var ingen av dem spesielt alvorlige, og det har ikke vært rapporterte hendelser med at disse sårbarhetene ble utnyttet i naturen," Paul Bischoff, en personvernekspert for Comparitech, sa i et e-postintervju. "Apple har allerede korrigert den mer alvorlige av de to sårbarhetene, så iPhone-eiere bør oppdatere enhetene sine så snart som mulig."
En feil i appen ville tillate Apple å spore brukernes plassering, noe som ville være i strid med personvernreglene, sa Bischoff. "Når det er sagt, er det ingen bevis som tyder på at Apple utnyttet denne sårbarheten, og forskerne sa ikke at den kunne utnyttes av en tredjepartsangriper."
En annen feil tillot en angriper å få tilgang til posisjonshistorikk lagret på en iPhone, selv om de måtte infisere en iPhone med skadelig programvare først. Selv om Apple kan ha rettet dette problemet, viser feilene i «Finn My»-appen hvordan posisjonsdata kan avsløre hvor noen bor og jobber.
"Hvis en bruker for eksempel har en spesifikk mobilapp for bilen sin, kan en GPS-strøm identifisere trendene til denne brukeren når de forlater kontoret, noe som kan utsette dem for bilkapring," Mark Pittman, administrerende direktør i Blyncsy, et bevegelses- og dataintelligensselskap, sa i et e-postintervju. "Tilsvarende, hvis en bruker deler GPS fra en datingapp, kan den brukes av et rovdyr til å spore og potensielt angripe en bruker."
Slik beskytter du deg selv
Anta at du er bekymret for at identiteten din blir avslørt. I så fall kan du velge bort «Finn My»-nettverket i innstillingene for Find My iPhone-appen, påpekte cybersikkerhetsekspert Chris Hazelton, direktør for sikkerhetsløsninger i Lookout, i et e-postintervju.
"Hvis de vil være dobbelt sikre, kan brukere slå av Bluetooth, som brukes til å koble til tapte enheter," sa Hazelton. "Selv om det er vanskelig å stoppe posisjonen din fra å spores generelt, er en beste praksis å ikke la noen app spore posisjonen din kontinuerlig."
Beslutningen om å velge "Finn My"-tjenesten kommer opp til brukeren, sa Hazelton. De må avgjøre om fordelene med posisjonstjeneste oppveier risikoen ved å dele posisjonen sin.
"For tjenester som Finn min iPhone," la han til, "vil de fleste brukere som har mistet enheten sin sannsynligvis si ja."