Video: OS X 10.10 Yosemite & iOS 8 : Handoff (Noviembre 2024)
Como siempre, la Conferencia Mundial de Desarrolladores de Apple está repleta de nuevas características y tecnologías. Pero estas mismas características interesantes vienen con muchas preguntas sobre la privacidad del usuario y la seguridad de los datos. Desempacamos algunos de ellos aquí en Security Watch .
Apple presentó esta semana una larga lista de nuevas características y tecnologías para sus sistemas operativos OS X Yosemite e iOS 8 en WWDC. El enfoque en la continuidad, o la integración perfecta entre la experiencia de usuario de OS X e iOS, puede ser potencialmente problemático para las organizaciones y los usuarios, sugirió Richard Henderson, estratega de seguridad en FortiGuard Threat Research and Response Labs.
Henderson marcó la siguiente línea de la nota clave de WWDC: "Ahora resulta que cuando trabajas en tu Mac, los dispositivos que te rodean… se conocen entre sí y saben lo que estás haciendo". Esta frase "debería hacer que la mayoría de los usuarios conscientes de la seguridad estén muy preocupados", dijo Henderson.
¿Pueden los compañeros de trabajo, los niños u otras personas importantes con dispositivos iOS "a tu alrededor" ver "lo que estás haciendo?" preguntó Henderson. "Las posibilidades de monitoreo silencioso existen si este es el caso".
Entonces, si bien es tentador suponer que Apple ha incorporado la seguridad en estas nuevas funciones, tenga en cuenta las implicaciones de seguridad y privacidad de antemano. Es necesario cierto escepticismo de seguridad para cualquiera que esté pensando en participar en el programa beta público.
La continuidad es agradable, pero ¿a dónde van mis datos?
Handoff, la característica que permite a los usuarios comenzar a trabajar en algo en el iPad y retomar exactamente donde lo dejaron en la Mac, podría ser lo mejor que suceda en el ecosistema de Apple desde el debut original del iPhone. Si bien es genial que su dispositivo iOS ya no sea una isla, la mayor pregunta de seguridad se reduce a cómo exactamente Apple transmitiría la información entre las máquinas.
Quizás la función se limitaría a máquinas conectadas en la misma red. De lo contrario, parece razonable suponer que la información de transferencia se está almacenando temporalmente en iCloud Drive, dijo Henderson. Esa suposición lleva a un conjunto completo de otras preguntas, como la forma en que se transmiten los datos, si Apple cifra los datos almacenados en los servidores de iCloud y si Apple puede verse obligada a entregar información ante una Carta de Seguridad Nacional u orden judicial.
El escenario ideal sería si Apple usara encriptación de extremo a extremo para Handoff, ya que los dispositivos podrían generar las claves privadas y públicas al configurar todo por primera vez, dijo Henderson. "No importaría si los dispositivos eran locales entre sí o no: solo cifre esos datos con su clave pública, envíelos a los servidores de iCloud Drive, y su otro dispositivo los desconectará y los descifrará utilizando los datos privados creados previamente. clave ", dijo.
Los puntos de acceso sin contraseña pueden ser abusados
Apple hizo que Instant Hotspot sea aún más simple para los usuarios de iOS 8 que desean compartir conexiones a Internet. Haga clic en el dispositivo, y listo! Conexión a Internet. "(Sí) nunca escribes una contraseña, y estás en la red tan fácilmente", según Apple.
Pero quizás el proceso sea demasiado fácil, advirtió Henderson. Si Instant Hotspot funciona incluso si el teléfono está "sentado en un bolso al otro lado de la habitación", esto podría ser problemático para los usuarios en un área pública como un aeropuerto o una cafetería local, dijo. Por un lado, cualquiera que pueda ver y conectarse al teléfono puede terminar robando ancho de banda. Por otro lado, poner todo esto detrás de la cuenta de iCloud por seguridad significa que solo los dispositivos autenticados con iCloud y Apple pueden aprovechar la función de punto de acceso. No es así como la gente generalmente usa los puntos críticos.
"Conociendo a Apple, será increíblemente fácil configurar esto para los usuarios menos 'calificados', lo que significa que podría existir el potencial de abuso por parte de quienes lo conocen", dijo Henderson. "Tendrá que haber otra forma (como la función actual de Hotspot móvil de iOS) para configurar un hotspot que realmente quieras que otros usen".
Datos de salud y privacidad
HealthKit y Health.app es "quizás el anuncio más importante desde una perspectiva de privacidad", dijo Henderson, señalando que los datos en rastreadores de actividad como Fitbit, aplicaciones que monitorean la frecuencia cardíaca, la presión arterial y los niveles de glucosa en la sangre, y las básculas "inteligentes" ya recopilan muchos datos "La legislación HIPAA y otra legislación sobre datos sanitarios puede ser un fango enorme y pantanoso… ¿cómo protege Apple específicamente su información?" preguntó.
La pantalla de identificación de emergencia de salud a la que se puede acceder desde la pantalla de bloqueo puede salvar vidas, pero también se puede abusar de ella. "¿Qué es lo que impide que alguien levante su teléfono y determine qué medicamentos está tomando? Piense en las implicaciones de privacidad cuando se trata de alguien con una enfermedad crónica grave como VIH / SIDA, cáncer, diabetes o cualquier otra enfermedad grave que pueda tener no quiero que otros sepan ", dijo Henderson.
¿Quién tiene datos destacados?
Spotlight tanto en OS X Yosemite como en iOS 8 obtendrá datos de varias fuentes, como Wikipedia, Maps, reseñas de Yelp y artículos de noticias. Los usuarios deben preguntarse dónde se almacenan los datos de Spotlight, ya sea localmente o en servidores de iCloud para que otros dispositivos puedan acceder a los datos. Si Apple está creando perfiles de actividad del cliente similares a los que hace Google, vale la pena preguntar si los usuarios pueden pedirle a Apple que elimine ese perfil cuando abandonen el ecosistema de Apple.
"Los recientes dolores de cabeza legales de Google en la UE que involucran a ciudadanos de la UE y el 'derecho al olvido' deberían ser un presagio para Apple y otras compañías que hacen negocios en la UE", dijo Henderson.
También vale la pena considerar cómo Apple presenta las consultas de búsqueda de Spotlight a sitios de terceros. "Si bien esa información no parece tan privada, los terceros recopilan datos de decenas de fuentes y los hacen referencias cruzadas para crear perfiles de usuario completos", advirtió Henderson.
Mira la lista completa
Henderson describió una larga lista de preguntas de seguridad, tocando la nueva función de marcado en Mail.app, SMS y mensajes de texto, HomeKit, Family Sharing y mucho más. Vale la pena revisar la publicación en su totalidad en el blog de Fortinet.
"Para crédito de Apple, han recorrido un largo camino con la seguridad, al menos cuando se trata de proporcionar más información a las personas", dijo Henderson. "Espero que Apple haya dado a la seguridad un lugar principal en el desarrollo de todas estas nuevas herramientas y características".
