powiedziałem ci wczoraj że Apple wprowadzi nowe zabezpieczenia w iOS później Kongres amerykański zażądał wyjaśnieńoraz o tym, w jaki sposób aplikacje uzyskują dostęp do danych książki kontaktów z naszych iPhone'ów. Cóż, problem książki adresowej jest niewielki, ponieważ twórcy aplikacji można uzyskać dostęp prawie wszystko z naszych terminali bez naszej wiedzy. W praktyce aplikacje potrafią nagrywać rozmowy, robić zdjęcia/filmy i mieć dostęp do niemal każdego rodzaju danych z naszego iDevice bez naszej wiedzy, chyba że mamy terminal w dłoni i na przykład wykryjemy nagranie zdjęcia z lampą błyskową. Problem w tym, że Apple zapewnia programistom dostęp do tych funkcji za pośrednictwem swojego pakietu SDK, a aplikacje mogą przesyłać zarejestrowane dane na serwery programistów bez wiedzy kogokolwiek innego.
- Aplikacje mogą szpiegować i pochłaniać Twoje informacje tylko wtedy, gdy są otwarte. Samo zainstalowanie aplikacji nie pozwala na to.
- Oczywiście większość programistów nigdy nie pomyślałaby o zrobieniu czegoś takiego i większość firm również nigdy by tego nie próbowała, ponieważ rozejście się na światło dzienne natychmiast by je zniszczyło. Jednakże jest wielu programistów i wejście na platformę programistyczną Apple jest banalne.
- Aplikacje takie jak Path zostały przerwane, ponieważ przesyłały dane przez SSL, ale przyznanie im fałszywego certyfikatu SSL (red. Dzięki komentatorowi) w rzeczywistości umożliwiło programiście obserwowanie przesyłanych danych. Jeśli jednak dane są szyfrowane bez protokołu SSL, eksperci ds. bezpieczeństwa i Apple nie mogą tak naprawdę zobaczyć, co jest przesyłane bezpiecznie, więc trudniej jest wyłapać paskudne aplikacje
- Nie jest to konkretnie problem z systemem iOS. Każda aplikacja komputerowa może pobrać dane i wysłać je na serwer gdzieś daleko (łącznie z pocztą elektroniczną). Android radzi sobie z tym nieco inaczej: jeśli aplikacja chce uzyskać dostęp do kontaktów, po instalacji pyta o pozwolenie. Większość ludzi na to nie zwraca uwagi, ale obowiązek zatwierdzenia dostępu spoczywa na użytkowniku. Jest to więc ochrona tylko z nazwy.
Chociaż w systemie iOS występują duże luki w zabezpieczeniach, nadal istnieją pewne dobre aspekty, ponieważ aplikacje nie mogą zrobić absolutnie nic, jeśli nie są otwarte, a nie tylko w tle i nie tylko pozostawione w Springboard. Nie wiadomo, ile aplikacji z App Store bez naszej wiedzy zapisuje i wysyła dane na serwery deweloperów, ale potrzebne są wielkie skandale, żeby Apple ograniczył dostęp. Z mojego punktu widzenia powinniśmy mieć możliwość zdecydowania, czy chcemy dać aplikacji możliwość dostępu do niektórych danych z naszych terminali i zostać poproszeni o pozwolenie na przesłanie dowolnego rodzaju danych z terminali na serwery twórcy aplikacji.
Większość programistów korzysta z niezaszyfrowanych metod wysyłania danych na własne serwery, dzięki czemu można bardzo łatwo wykryć „pirackie” aplikacje. Ci, którzy szyfrują swoje dane przed wysłaniem na serwery, chronią je i ani my, ani Apple nie możemy dowiedzieć się, co jest przesyłane, chyba że programiści dostarczą dodatkowych informacji. Zasadniczo są to naprawdę niebezpieczne aplikacje, ponieważ przesyłanych przez nie informacji nie da się monitorować i weryfikować.
