Plotka o iPhone 14 powoduje poważny ból głowy podczas przechowywania dużych ilości informacji
Yuriy SheremetApple to firma znana z tego, że koncentruje się na ochronie prywatności użytkowników. W tym celu programiści regularnie dodają do systemu operacyjnego iOS coraz bardziej wyrafinowane systemy i mechanizmy bezpieczeństwa, często sprzeczne z rynkową wizją inteligentnego prowadzenia biznesu. Może się to wiązać z polityką firmy dotyczącą interakcji z klientami: praktycznie nie zależy to od jego danych osobowych. Jednocześnie zbieranie i przetwarzanie danych osobowych nie zawsze wiąże się ze śledzeniem danych. Apple z pewnością wie, jak zbierać dane o użytkownikach, czego wyraźnym przykładem jest automatyczne logowanie do aplikacji.
Poważną lukę w zabezpieczeniach systemu iOS zidentyfikował jeden z użytkowników testujących iPhone’a 14. Użytkownik dowiedział się, że system nadal przechowuje dane aplikacji nawet po ich usunięciu z urządzenia. Warto zauważyć, że nie chodzi tu o dane z pamięci podręcznej, ale o informacje, za pomocą których urządzenie może automatycznie zalogować się na zarejestrowane wcześniej konto nawet po ponownej instalacji. Dlaczego jest to złe i jakie jest niebezpieczeństwo tego „błędu” - w naszym artykule.
Problem: aplikacja samodzielnie loguje się na konto
Według użytkownika ta funkcja systemu iOS została przez niego wykryta po ponownej instalacji programu 9gag. Użytkownik po usunięciu aplikacji ponownie pobrał aplikację na urządzenie, otworzył ją i zobaczył, że program sam zalogował się na konto bez pytania o login i hasło.
Użytkownik zauważa, że początkowo przypisał to możliwości przechowywania danych autoryzacyjnych w iCloud lub pęku kluczy. Jednak po sprawdzeniu magazynu i Paczki nie znalazł w nich zapisanego konta. W ten sposób dowiedział się, że niektóre aplikacje mogą przechowywać informacje w lokalnym pęku kluczy, a system ich nie usuwa, nawet jeśli dane nie są zsynchronizowane z magazynem. Mówiąc najprościej, informacje z tych aplikacji są nadal przechowywane na koncie i ułatwiają automatyczne logowanie po dopasowaniu identyfikatora.
Oczywiście tego rodzaju informacje mogą być przechowywane w pamięci długoterminowej, ponieważ tylko zresetowanie urządzenia do ustawień fabrycznych pomoże je usunąć. Pliki cookie działają na tej samej zasadzie w przeglądarkach, ale w tym przypadku wszystko jest znacznie bardziej niebezpieczne: urządzenie zapamięta dane nawet po usunięciu aplikacji.
Dlaczego jest to niebezpieczne?
To „znalezisko” użytkownika to dość poważna luka w systemie zabezpieczeń iOS. Można to potwierdzić z następujących powodów:
- Nie wiemy dokładnie, gdzie takie informacje są przechowywane, dlatego nie można ich usunąć.
- Jeśli aplikacja jest rozpoznawana samodzielnie przez urządzenie, może wysyłać informacje autoryzacyjne do innych źródeł.
- Sprzedając urządzenie nowemu właścicielowi, musisz wykonać pełny reset gadżetu do ustawień fabrycznych. W przeciwnym razie nowy właściciel może uzyskać dostęp do Twojego konta.
- Przechowywanie danych aplikacji w pamięci długoterminowej znacznie ułatwia śledzenie użytkownika - np. wysyłanie reklam.
- Automatyczne logowanie do aplikacji następuje niezależnie od Twojej woli, co nie budzi już zaufania do systemu bezpieczeństwa.
Dlaczego to się stało?
Przedstawiciele Apple uparcie zaprzeczają istnieniu „błędu” jako takiego. Ich zdaniem tę wadę należy uznać za unikalną cechę systemu i jego możliwość interakcji z unikalnym identyfikatorem urządzenia. W uczciwości możemy zgodzić się, że taki schemat synchronizacji jest naprawdę wygodny w niektórych scenariuszach. Twórcy nie przewidzieli jednak wprost, że automatyczne logowanie do aplikacji po jej ponownej instalacji może zostać wykorzystane przez przestępców do samolubnych celów.
Najlepsza ochrona urządzenia przed cyberatakami — usługi VPN
Usługi te aktywnie stosują dość złożone techniki szyfrowania informacji w trybie strumieniowym. Użytkownikowi bez odpowiedniego jest niezwykle trudno samodzielnie zaszyfrować dane, ale usługa VPN Private Internet Access mu w tym pomoże.
Dla lepszego zrozumienia, oto jego zalety dla urządzeń iOS:
- Szyfrowane uwierzytelnianie użytkowników pomaga budować zaufaną sieć.
- Możliwość stworzenia specjalnego „tunelu” zbudowanego z wykorzystaniem protokołów VPN. Takie „tunele” całkowicie eliminują ryzyko związane z niezweryfikowanymi węzłami połączeniowymi.
- Większość usług VPN może być używana w systemie Windows.
- Szyfrowanie informacji gwarantuje bezpieczeństwo i poufność przesyłanych danych.
- Tunelowanie uniemożliwia cyberprzestępcom przeprowadzanie ataków phishingowych i zakłóca podsłuchiwanie ruchu.
- Korzystając z VPN, oszuści nie będą mogli powiązać Twoich zakupów z informacjami rozliczeniowymi.
- Zaawansowane ustawienia usług mogą zastąpić lub uzupełnić zapory sieciowe.
- Wystarczy jedno ustawienie, aby nie martwić się niechcianymi reklamami.
Wreszcie, usługa VPN oferuje użytkownikowi własny serwer DNS i wygodne ustawienia routingu, co pozwala na odmowę dostępu do sieci nawet najbardziej przemyślanym aplikacjom.
Yuriy Sheremet - ekspert w dziedzinie gier mobilnych i e-sportu wśród strzelanek i gier MOBA.
W EGamersWorld Yuriy, podobnie jak w 2020 roku, kiedy dołączył do portalu, pracuje z treściami, aczkolwiek z dostosowaniem do swojego obszaru odpowiedzialności.