Ik heb het je gisteren verteld dat Apple nieuwe beveiligingsmaatregelen zal introduceren in iOS na Het Amerikaanse Congres eiste ophelderingen over hoe de applicaties toegang krijgen tot de contactboekgegevens van onze iPhones. Welnu, het probleem met het contactboek is klein omdat de applicatie-ontwikkelaars kan toegang krijgen tot bijna alles van onze terminals zonder dat we het weten. In de praktijk kunnen de applicaties gesprekken opnemen, foto's/films maken en toegang krijgen tot vrijwel alle soorten gegevens van ons iDevice zonder dat we het weten, tenzij we de terminal in onze hand hebben en bijvoorbeeld de opname van een foto met flits detecteren. Het probleem is dat Apple ontwikkelaars toegang geeft tot deze functies via de SDK en dat de applicaties de opgenomen gegevens naar de servers van de ontwikkelaars kunnen verzenden zonder dat iemand anders het weet.
- Apps kunnen uw informatie alleen bespioneren en opslurpen als ze geopend zijn. Alleen al het installeren van een app laat dit niet gebeuren.
- Het is duidelijk dat de meeste ontwikkelaars nooit zouden overwegen om zoiets als dit te doen, en de meeste bedrijven zouden dit ook nooit proberen, omdat bekendmaking hen onmiddellijk zou vernietigen. Er zijn echter veel ontwikkelaars en het is triviaal om op het ontwikkelingsplatform van Apple te komen.
- Apps zoals Path werden kapot gemaakt omdat het gegevens via SSL verzond, maar door het een vals SSL-certificaat te geven (red. Bedankt commentator) kon de ontwikkelaar de gegevens bekijken terwijl deze werden verzonden. Als gegevens echter zonder SSL worden gecodeerd, kunnen beveiligingsexperts en Apple niet echt zien wat er veilig wordt overgedragen, dus is het moeilijker om vervelende toepassingen op te sporen.
- Dit is niet specifiek een iOS-probleem. Elke desktopapplicatie kan gegevens opzuigen en deze naar een server ergens ver weg sturen (inclusief e-mail). Android gaat hier iets anders mee om: als een app toegang wil tot contacten, vraagt deze bij installatie toestemming. De meeste mensen kijken hier niet naar, maar het is aan de gebruiker om de toegang goed te keuren. Dat is dus alleen bescherming in naam.
Hoewel er grote gaten in de beveiliging zitten in iOS, zijn er nog steeds enkele goede aspecten, omdat de applicaties absoluut niets kunnen doen tenzij ze open zijn, niet alleen op de achtergrond en niet alleen in Springboard. Het is niet bekend hoeveel applicaties uit de App Store gegevens opnemen en naar de servers van de ontwikkelaars sturen zonder dat we het weten, maar er zijn grote schandalen nodig voordat Apple de toegang kan beperken. Naar mijn mening moeten we de mogelijkheid krijgen om te beslissen of we een applicatie de mogelijkheid willen geven om toegang te krijgen tot bepaalde gegevens van onze terminals en om toestemming te worden gevraagd voor het verzenden van welke gegevens dan ook van de terminals naar de servers van de terminals. applicatie-ontwikkelaars.
De meeste ontwikkelaars gebruiken niet-gecodeerde methoden om gegevens naar hun eigen servers te verzenden en op deze manier kunnen 'piraat'-applicaties heel gemakkelijk worden ontdekt. Degenen die hun gegevens coderen voordat ze naar de servers worden verzonden, beschermen de informatie en noch wij, noch Apple kunnen erachter komen wat er wordt verzonden, tenzij de ontwikkelaars aanvullende informatie verstrekken. Kortom, dit zijn de echt gevaarlijke applicaties, omdat de door hen verzonden informatie niet kan worden gecontroleerd en geverifieerd.
