kerroin sinulle eilen Apple ottaa käyttöön uusia suojaustoimenpiteitä iOS:ssä jälkeen Amerikan kongressi vaati selityksiäja siitä, kuinka sovellukset pääsevät iPhoneemme yhteystietoluetteloon. No, yhteyskirjan ongelma on pieni, koska sovellusten kehittäjät pääsee käsiksi melkein mitä tahansa terminaaleistamme meidän tietämättämme. Käytännössä sovellukset voivat nauhoittaa keskusteluja, ottaa kuvia/filmata ja päästä käsiksi lähes kaikenlaiseen dataan iDevice-laitteeltamme tietämättämme, ellei meillä ole päätelaitetta kädessämme ja havaita esimerkiksi valokuvan tallentaminen salamalla. Ongelmana on, että Apple antaa kehittäjille pääsyn näihin toimintoihin SDK:n kautta ja sovellukset voivat välittää tallennetut tiedot kehittäjien palvelimille kenenkään muun tietämättä.
- Sovellukset voivat vain vakoilla ja salata tietojasi, kun ne ovat auki. Pelkkä sovelluksen asentaminen ei anna tämän tapahtua.
- Ilmeisesti useimmat kehittäjät eivät koskaan harkitsisi tekevänsä jotain tällaista, ja useimmat yritykset eivät myöskään koskaan yrittäisi tehdä tätä, koska sanan leviäminen tuhoaisi heidät välittömästi. Siellä on kuitenkin monia kehittäjiä, ja on triviaalia päästä Applen kehitysalustaan.
- Pathin kaltaiset sovellukset suljettiin, koska se välitti tietoja SSL:n kautta, mutta antamalla sille väärennetyn SSL-varmenteen (toim. kiitos kommentoija) antoi kehittäjän itse asiassa katsoa tietoja, kun niitä lähetetään. Jos tiedot kuitenkin salataan ilman SSL-salausta, tietoturvaasiantuntijat ja Apple eivät todellakaan näe, mitä siirretään turvallisesti, joten ikäviä sovelluksia on vaikeampi saada esiin.
- Tämä ei ole erityisesti iOS-ongelma. Mikä tahansa työpöytäsovellus voi imeä tietoja ja lähettää ne jonnekin kaukana olevalle palvelimelle (mukaan lukien sähköposti). Android käsittelee tämän hieman eri tavalla: Jos sovellus haluaa käyttää yhteystietoja, se pyytää lupaa asennuksen yhteydessä. Useimmat ihmiset eivät katso tätä, mutta käyttäjän velvollisuus on hyväksyä pääsy. Se on siis suoja vain nimellisesti.
Vaikka iOS:ssä on suuria tietoturva-aukkoja, on silti joitain hyviä puolia, koska sovellukset eivät voi tehdä mitään, elleivät ne ole auki, eivät vain taustalla eivätkä vain jääneet Springboardiin. Ei tiedetä, kuinka moni App Storen sovellus tallentaa ja lähettää tietoja kehittäjien palvelimille meidän tietämättämme, mutta Apple tarvitsee suuria skandaaleja pääsyn rajoittamiseen. Minun näkökulmastani meille pitäisi antaa mahdollisuus päättää, haluammeko antaa sovellukselle mahdollisuuden päästä käsiksi tiettyihin tietoihin päätelaitteistamme ja pyytää lupaa kaikenlaiseen päätelaitteista tulevan datan lähettämiseen päätelaitteemme palvelimille. sovelluskehittäjät.
Useimmat kehittäjät käyttävät salaamattomia menetelmiä tietojen lähettämiseen omille palvelimilleen ja näin "piraatti"-sovellukset voidaan löytää erittäin helposti. Ne, jotka salaavat tietonsa ennen niiden lähettämistä palvelimille, suojaavat tietoja, emmekä me tai Apple voi saada selville, mitä lähetetään, elleivät kehittäjät anna lisätietoja. Pohjimmiltaan nämä ovat todella vaarallisia sovelluksia, koska niiden lähettämiä tietoja ei voida valvoa ja tarkistaa.
