Da asporto chiave
- Le nuove vulnerabilità rilevate nell'app di ricerca dei dispositivi di Apple potrebbero rivelare la tua posizione e identità.
- L'app utilizza una rete crowd-sourced di milioni di dispositivi per individuare i dispositivi "persi" non connessi tramite Bluetooth.
- Gli hacker potrebbero ottenere l'accesso non autorizzato alla cronologia delle tue posizioni negli ultimi sette giorni e correlarla alla tua identità.
Il sistema di localizzazione che ti aiuta a trovare i dispositivi Apple potrebbe anche rivelare la tua identità, affermano i ricercatori.
Ricerca offline ti consente di localizzare i dispositivi Apple anche se non sono connessi a Internet. Apple ha affermato che l'app protegge la privacy degli utenti, ma i difetti di sicurezza segnalati nel software mostrano che l'anonimato è difficile da trovare su Internet. Secondo un recente articolo pubblicato dai ricercatori dell'Università tecnica di Darmstadt in Germania, gli hacker potrebbero ottenere l'accesso non autorizzato alla cronologia delle tue posizioni negli ultimi sette giorni e correlarla con la tua identità.
"Ciò che ci mostra davvero è che nulla è mai sicuro al 100% e, anche dopo le patch di Apple, gli aggressori alla fine troveranno nuove vulnerabilità da sfruttare", ha affermato Jason Glassberg, co-fondatore della società di sicurezza informatica Casaba Security, in un colloquio via e-mail. "Il problema più grande qui è che la privacy degli utenti non può mai essere garantita e le persone devono cambiare il loro stato d'animo dall'idea di essere 'private' alla re altà di essere semplicemente 'meno sfruttate'".
Trova e identifica
Il team di Darmstadt ha scoperto che "il design generale raggiunge gli obiettivi specifici di Apple" per la privacy, ma ha scoperto due vulnerabilità "che sembrano essere al di fuori del modello di minaccia di Apple" e potrebbero avere gravi conseguenze.
Il problema più grande qui è che la privacy degli utenti non può mai essere garantita.
Gli esperti dicono di non preoccuparsi troppo di questi difetti, comunque.
"Sebbene siano state rilevate due falle di sicurezza nella funzione di ricerca offline di Apple, nessuna delle due era particolarmente grave e non sono stati segnalati incidenti di sfruttamento di queste vulnerabilità in natura", Paul Bischoff, esperto di privacy di Comparitech, ha detto in un'intervista via e-mail. "Apple ha già corretto la più grave delle due vulnerabilità, quindi i possessori di iPhone dovrebbero aggiornare i propri dispositivi il prima possibile."
Un difetto nell'app consentirebbe ad Apple di tracciare le posizioni degli utenti, il che sarebbe contrario alla sua politica sulla privacy, ha affermato Bischoff. "Detto questo, non ci sono prove che suggeriscano che Apple abbia sfruttato questa vulnerabilità e i ricercatori non hanno affermato che potrebbe essere sfruttata da un aggressore di terze parti."
Un altro bug ha consentito a un utente malintenzionato di accedere alla cronologia delle posizioni memorizzata su un iPhone, anche se prima doveva infettare un iPhone con malware. Sebbene Apple possa aver risolto questo problema, i difetti dell'app "Trova il mio" evidenziano come i dati sulla posizione possono rivelare dove vive e lavora qualcuno.
"Ad esempio, se un utente ha un'app mobile specifica per la propria auto, un flusso GPS potrebbe identificare le tendenze di quell'utente quando lascia l'ufficio che potrebbero esporlo a furti d'auto", Mark Pittman, CEO di Blyncsy, una società di movimento e di intelligence dei dati, ha affermato in un'intervista via e-mail. "Allo stesso modo, se un utente condivide il GPS da un'app di appuntamenti, potrebbe essere utilizzato da un predatore per rintracciare e potenzialmente aggredire un utente."
Come proteggersi
Supponiamo che tu sia preoccupato che la tua identità venga rivelata. In tal caso, puoi disattivare la rete "Trova il mio" nelle impostazioni dell'app Trova il mio iPhone, ha sottolineato l'esperto di sicurezza informatica Chris Hazelton, direttore delle soluzioni di sicurezza presso Lookout, in un'intervista via e-mail.
"Se vogliono essere doppiamente sicuri, gli utenti possono disattivare il Bluetooth, che viene utilizzato per connettersi ai dispositivi smarriti", ha detto Hazelton. "Sebbene sia difficile impedire che la tua posizione venga tracciata in generale, una delle migliori pratiche è non consentire a nessuna app di tracciare la tua posizione continuamente."
La decisione se attivare il servizio "Trova il mio" spetta all'utente, ha detto Hazelton. Devono decidere se i vantaggi del servizio di localizzazione superano i rischi della condivisione della loro posizione.
"Per servizi come Trova il mio iPhone", ha aggiunto, "la maggior parte degli utenti che hanno perso il dispositivo probabilmente diranno di sì."