מזונות חשובים
- פרצות שנחשפו לאחרונה באפליקציית איתור המכשירים של אפל עשויות לחשוף את המיקום והזהות שלך.
- האפליקציה משתמשת ברשת ממקור המונים של מיליוני מכשירים כדי לאתר מכשירים "אבודים" לא מחוברים באמצעות Bluetooth.
- האקרים עלולים לקבל גישה לא מורשית להיסטוריית המיקומים שלך בשבעת הימים האחרונים ולקשר אותה לזהות שלך.
מערכת מעקב המיקום שעוזרת לך למצוא מכשירי אפל יכולה גם לחשוף את זהותך, אומרים חוקרים.
איתור לא מקוון מאפשר לך לאתר מכשירי אפל גם אם הם לא מחוברים לאינטרנט.אפל אמרה שהאפליקציה מגנה על פרטיות המשתמש, אך פגמי אבטחה שדווחו בתוכנה מראים שקשה להשיג אנונימיות באינטרנט. לפי מאמר שפורסם לאחרונה על ידי חוקרים מהאוניברסיטה הטכנית של דרמשטט בגרמניה, האקרים עלולים לקבל גישה בלתי מורשית להיסטוריית המיקומים שלך בשבעת הימים האחרונים ולקשר אותה לזהות שלך.
"מה שזה באמת מראה לנו הוא ששום דבר לעולם אינו מאובטח ב-100%, וגם לאחר התיקונים של אפל, תוקפים בסופו של דבר ימצאו נקודות תורפה חדשות לניצול", אמר ג'ייסון גלסברג, מייסד שותף של חברת אבטחת הסייבר Casaba Security. ראיון במייל. "הבעיה הגדולה יותר כאן היא שלעולם לא ניתן להבטיח את פרטיות המשתמש, ואנשים צריכים לשנות את הלך הרוח שלהם מהרעיון של להיות 'פרטיים' למציאות של פשוט להיות 'פחות מנוצלים'."
מצא וזיהוי
צוות Darmstadt גילה ש"העיצוב הכולל משיג את המטרות הספציפיות של אפל" לפרטיות, אבל הם גילו שתי נקודות תורפה "שנראות מחוץ למודל האיומים של אפל" ועלולות להיות לה השלכות חמורות.
הבעיה הגדולה יותר כאן היא שלעולם לא ניתן להבטיח פרטיות משתמש.
עם זאת, מומחים אומרים לא לדאוג יותר מדי לגבי הפגמים האלה.
"למרות שנמצאו שני פגמי אבטחה בתכונת ה-Offline Finding של אפל, אף אחד מהם לא היה חמור במיוחד, ולא דווח על תקריות של ניצול פגיעויות אלה בטבע", פול בישוף, מומחה לפרטיות של Comparitech, אמר בראיון באימייל. "אפל כבר תיקנה את הפגיעות החמורה יותר מבין שתי הנקודות, אז בעלי אייפון צריכים לעדכן את המכשירים שלהם בהקדם האפשרי."
פגם אחד באפליקציה יאפשר לאפל לעקוב אחר מיקומי המשתמשים, דבר שיעמוד בניגוד למדיניות הפרטיות שלה, אמר בישוף. "עם זאת, אין ראיות המצביעות על כך שאפל ניצלה את הפגיעות הזו, והחוקרים לא אמרו שהיא יכולה להיות מנוצלת על ידי תוקף צד שלישי."
באג נוסף אפשר לתוקף לגשת להיסטוריית המיקומים המאוחסנת באייפון, אם כי היה עליו להדביק תחילה את האייפון בתוכנה זדונית. בעוד שאפל אולי תיקנה את הבעיה הזו, הפגמים באפליקציית "מצא את שלי" מדגישים כיצד נתוני מיקום יכולים לחשוף היכן מישהו גר ועובד.
"לדוגמה, אם למשתמש יש אפליקציה ספציפית לנייד עבור המכונית שלו, זרם GPS עשוי לזהות את הטרנדים של אותו משתמש כאשר הוא עוזב את המשרד שעלול לחשוף אותו לחטיפת מכוניות", מארק פיטמן, מנכ"ל Blyncsy, חברת מודיעין תנועה ונתונים, אמרה בראיון באימייל. "באופן דומה, אם משתמש משתף GPS מאפליקציית היכרויות, זה יכול לשמש טורף כדי לעקוב אחר משתמש ואפשר לתקוף אותו."
איך להגן על עצמך
נניח שאתה מודאג מכך שהזהות שלך נחשפת. במקרה כזה, תוכל לבטל את הסכמתך לרשת "מצא את שלי" בהגדרות אפליקציית Find My iPhone, ציין מומחה אבטחת הסייבר כריס הייזלטון, מנהל פתרונות אבטחה ב-Lookout, בראיון באימייל.
"אם הם רוצים להיות בטוחים כפול, משתמשים יכולים לכבות את ה-Bluetooth, המשמש לחיבור למכשירים שאבדו", אמר הייזלטון. "למרות שקשה לעצור את המעקב אחר המיקום שלך באופן כללי, אחת השיטות המומלצות היא לא לאפשר לאף אפליקציה לעקוב אחר המיקום שלך ברציפות."
ההחלטה אם להצטרף לשירות "מצא את שלי" תלויה במשתמש, אמר הייזלטון. הם צריכים להחליט אם היתרונות של שירות המיקום עולים על הסיכונים שבשיתוף המיקום שלהם.
"לשירותים כמו Find My iPhone", הוא הוסיף, "סביר להניח שרוב המשתמשים שאיבדו את המכשיר שלהם יגידו כן."
