Clau per emportar
- Les vulnerabilitats recentment revelades a l'aplicació de cerca de dispositius d'Apple podrien revelar la vostra ubicació i identitat.
- L'aplicació utilitza una xarxa multitudinària de milions de dispositius per localitzar dispositius "perduts" sense connexió mitjançant Bluetooth.
- Els pirates informàtics podrien obtenir accés no autoritzat al vostre historial d'ubicacions durant els darrers set dies i relacionar-lo amb la vostra identitat.
El sistema de seguiment de la ubicació que us ajuda a trobar dispositius Apple també podria exposar la vostra identitat, diuen els investigadors.
Offline Finding us permet localitzar dispositius Apple encara que no estiguin connectats a Internet. Apple ha dit que l'aplicació protegeix la privadesa de l'usuari, però les fallades de seguretat informades al programari mostren que l'anonimat és difícil d'aconseguir a Internet. Segons un article recent publicat per investigadors de la Universitat Tècnica de Darmstadt a Alemanya, els pirates informàtics podrien obtenir accés no autoritzat al vostre historial d'ubicacions durant els darrers set dies i relacionar-lo amb la vostra identitat..
"El que realment ens demostra és que res no és 100% segur, i fins i tot després dels pegats d'Apple, els atacants eventualment trobaran noves vulnerabilitats per explotar", va dir Jason Glassberg, cofundador de la firma de ciberseguretat Casaba Security, a una entrevista per correu electrònic. "El problema més important aquí és que la privadesa dels usuaris no es pot garantir mai, i la gent ha de canviar el seu estat d'ànim de la idea de ser "privada" a la realitat de ser simplement "menys explotada".".
Cerca i identifica
L'equip de Darmstadt va trobar que "el disseny general aconsegueix els objectius específics d'Apple" en matèria de privadesa, però van descobrir dues vulnerabilitats "que semblen estar fora del model d'amenaça d'Apple" i que podrien tenir conseqüències greus.
El problema més gran aquí és que mai es pot garantir la privadesa dels usuaris.
Els experts diuen que no us heu de preocupar massa per aquests defectes, però.
"Tot i que es van trobar dos errors de seguretat a la funció de recerca fora de línia d'Apple, cap d'ells va ser especialment greu i no s'han informat incidents d'explotació d'aquestes vulnerabilitats a la natura", Paul Bischoff, expert en privadesa de Comparitech., va dir en una entrevista per correu electrònic. "Apple ja ha corregit la més greu de les dues vulnerabilitats, de manera que els propietaris d'iPhone haurien d'actualitzar els seus dispositius tan aviat com sigui possible."
Un defecte de l'aplicació permetria a Apple fer un seguiment de les ubicacions dels usuaris, cosa que anava en contra de la seva política de privadesa, va dir Bischoff. "Dit això, no hi ha proves que suggereixin que Apple s'aprofités d'aquesta vulnerabilitat i els investigadors no van dir que pogués ser explotada per un atacant de tercers."
Un altre error va permetre a un atacant accedir a l'historial d'ubicacions emmagatzemat en un iPhone, tot i que primer havia d'infectar un iPhone amb programari maliciós. Tot i que Apple pot haver solucionat aquest problema, els errors de l'aplicació "Troba la meva" mostren com les dades d'ubicació poden revelar on viu i treballa algú.
"Per exemple, si un usuari té una aplicació mòbil específica per al seu cotxe, un flux de GPS podria identificar les tendències d'aquest usuari quan surti de l'oficina que podria exposar-lo a robatori de cotxes", Mark Pittman, CEO de Blyncsy., una empresa de moviment i intel·ligència de dades, va dir en una entrevista per correu electrònic. "De la mateixa manera, si un usuari comparteix el GPS des d'una aplicació de cites, un depredador podria utilitzar-lo per fer un seguiment i, potencialment, atacar un usuari."
Com protegir-se
Suposem que us preocupa que la vostra identitat sigui exposada. En aquest cas, podeu desactivar la xarxa "Troba la meva" a la configuració de l'aplicació Troba el meu iPhone, va assenyalar l'expert en ciberseguretat Chris Hazelton, director de solucions de seguretat de Lookout, en una entrevista per correu electrònic.
"Si volen estar doblement segurs, els usuaris poden desactivar el Bluetooth, que s'utilitza per connectar-se als dispositius perduts", va dir Hazelton. "Tot i que és difícil evitar que es faci un seguiment de la teva ubicació en general, una pràctica recomanada és no permetre que cap aplicació faci un seguiment de la teva ubicació contínuament."
La decisió d'optar al servei "Troba el meu" depèn de l'usuari, va dir Hazelton. Han de decidir si els avantatges del servei d'ubicació superen els riscos de compartir la seva ubicació.
"Per a serveis com Find My iPhone", va afegir, "la majoria dels usuaris que hagin perdut el seu dispositiu probablement diran que sí."
