iOS: Αναλυτής ανακαλύπτει ατεκμηρίωτες υπηρεσίες διαρροής προσωπικών δεδομένων
Εν αμφιβόλω έθεσε την ασφάλεια των προσωπικών δεδομένων των χρηστών iOS ο αναλυτής ασφαλείας Jonathan Zdziarski, αναλύοντας μία ομάδα ατεκμηρίωτων υπηρεσιών οι οποίες παρέχουν προσωπικές πληροφορίες μέσω απομακρυσμένης πρόσβασης. Η συζήτηση ξεκίνησε με την παρουσίαση του Zdziarski στο πρόσφατο συνέδριο ασφαλείας HOPE/X και στο οποίο κατονόμασε τρεις υπηρεσίες (com.apple.mobile.pcapd, com.apple.mobile.file_relay και com.apple.mobile.house_arrest) οι οποίες μεταφέρουν δεδομένα στο παρασκήνιο και χωρίς τη συγκατάθεση του χρήστη, με μόνη προϋπόθεση τη σύζευξη της κινητής συσκευής με έναν υπολογιστή. Η κάθε μία αφορά διαφορετικά δεδομένα, εντούτοις ο αναλυτής στέκεται στο γεγονός ότι οι υπηρεσίες προσπελαύνουν προσωπικά δεδομένα παρακάμπτοντας την κρυπτογράφηση της συσκευής, ενώ λειτουργούν χωρίς να υπάρχει προφανής λόγος λειτουργίας τους από προγραμματιστές ή από τμήματα IT. Επιπλέον, δεν υπάρχει δυνατότητα απενεργοποίησής τους ή παύσης σύζευξης με μία συσκευή. Αυτό, σε συνδυασμό με το γεγονός ότι το σύστημα σύζευξης που προστατεύει τη ροή των δεδομένων είναι «αδύναμο» (κατά τον αναλυτή), καθιστά ευάλωτες τις πληροφορίες σε κυβερνητικές υπηρεσίες ή οργανισμούς πληροφοριών (πχ NSA) αλλά και σε τρίτους. Προς επιβεβαίωση των παραπάνω, ο αναλυτής δημιούργησε προγράμματα που εξάγουν ευαίσθητα δεδομένα από αυτές τις υπηρεσίες, παρακάμπτοντας την κρυπτογράφηση της συσκευής. Η Apple έσπευσε να απαντήσει στα συμπεράσματα του Zdziarski αναλύοντας τη χρησιμότητα της εκάστοτε υπηρεσίας και αναφέροντας ότι οι πληροφορίες που παρέχουν δεν είναι τόσο σημαντικές, αλλά πολύ συγκεκριμένες. Επιπλέον, η εταιρεία προχώρησε στην ανάρτηση τεκμηρίωσής τους, καθησυχάζοντας τους χρήστες ότι τα δεδομένα τους παραμένουν ασφαλή και ότι δεν υπάρχει καμία παρεμβολή κυβερνητικών υπηρεσιών ή κρυφή διαρροή πληροφοριών. Ο αναλυτής επιμένει ότι οι υπηρεσίες, αν και βρέθηκαν στις πρόσφατες beta, προϋπήρχαν μέχρι και χρόνια πριν, ενώ η απάντηση της Apple είναι κάπως γενικόλογη και περισσότερο προσπαθεί να κατευνάσει τα πνεύματα μειώνοντας τη σημασία του ζητήματος. Ωστόσο ο ίδιος παραδέχεται ότι η ίδια η εταιρεία άλλαξε τη λειτουργία κάποιων υπηρεσιών και άκουσε τις ανησυχίες του με την έλευση της iOS 8 beta 5, καθώς διορθώθηκαν πολλά (αλλά όχι όλα) από τα προβλήματα που είχε αναδείξει αρχικά. Ο Zdziarski σημειώνει ότι η Apple έχει κάνει πολύ καλή δουλειά ως προς την εν γένει ασφάλεια του iOS και ότι η ανταπόκρισή της στα όσα παρουσίασε στο HOPE/X είναι ενθαρρυντική. Παρόλα αυτά, επιμένει ότι υπάρχει δρόμος για την πλήρωση όλων των κενών ασφαλείας και ότι το όλο σύστημα θα πρέπει να ακολουθήσει έναν πιο ασφαλή τρόπο από μία απλή σύζευξη συσκευών που θεωρείται ευάλωτη, ιδίως απέναντι σε υπηρεσίες όπως η NSA. Αναλυτικά, το ιστορικό της υπόθεσης είναι διαθέσιμο από το blog του ίδιου του Zdziarski. [via] - [via] - [via] http://feeds.myphone.gr/~r/myphone/~3/sOAhB3Om1XI/showthread.php http://feeds.myphone.gr/~r/myphone/~3/sOAhB3Om1XI/showthread.php ________ Orasi mailing list για την διαγραφή σας από αυτή την λίστα στείλτε email στην διεύθυνση orasi-requ...@hostvis.net και στο θέμα γράψτε unsubscribe Για να στείλετε ένα μήνυμα και να το διαβάσουν όλοι οι συνδρομητές της λίστας στείλτε email στην διεύθυνση Orasi@hostvis.net διαβάστε τι συζητά αυτή η λίστα http://hostvis.net/mailman/listinfo/orasi_hostvis.net Για το αρχείο της λίστας http://www.mail-archive.com/orasi@hostvis.net/ παλαιότερο αρχίο (έως 25/06/2011) http://www.freelists.org/archives/orasi __________ NVDA δωρεάν αναγνώστης οθώνης ένα πρόγραμμα ανοιχτού λογισμικού http://www.nvda-project.org/ __________ Για καλή Ελληνική και ξένη μουσική, Θεατρικά έργα από το ελληνικό και παγκόσμιο ρεπερτόριο επισκεφθείτε το http://www.isobitis.com ______________
