אפל רומסת אבטחה בשם הנוחות

אפל רומסת אבטחה בשם הנוחות

אפל מתכננת עם iOS 14.5 לאפשר לעובדי ארגון רעולי פנים לגשת לאייפונים שלהם אם הם גם לובשים Apple Watch (פועל WatchOS 7.4), שאינו נעול. ראש בראש: זוהי נוחות מהותית לעומת פשרה ביטחונית של אפל, ואם אינכם מתעקשים שהעובדים יימנעו משימוש בתכונה, האבטחה התאגידית תיפגע.

בקיצור, זה יקל על מרגלים וגנבי סייבר של חברות לתפוס את הקניין הרוחני של החברה שלך, שנוצר, מאוחסן ונשלח בטלפונים חכמים היום בקצב הרבה יותר גדול מ- 2019 – המכונה גם לפני ה- COVID-19 פעמים. .

אפל סירבה לתת לנוחות זו לעשות דבר מלבד לפתוח את הטלפון (וזה מספיק גרוע). והיא לא תאפשר לתכונה לעקוף את אימות זיהוי הפנים עבור AppleCard, ApplePay או כל אפליקציית צד שלישי (כגון בנקים וחברות השקעות) שאימצו את Face ID. זה אומר לך פחות או יותר כל מה שאתה צריך לדעת על כמה חותך פינתי אבטחה זה מהלך.

בואו נבדוק את מה שאפל עשתה וניתן קרדיט היכן שמגיע. כצעד אבטחה, זה נורא – וזה אמור להיות הדאגה העיקרית של ה- IT הארגוני מכיוון שהוא מסכן נתונים ארגוניים רגישים במיוחד. עם זאת, זה מנה די מרשימה של נוחות.

ראשית, הדבר מבוסס לחלוטין על מגיפה, שכן תהליך הנעילה מתחיל בסריקה לאיתור קיומו של מישהו שחובש מסיכה. ברגע שהוא קובע זאת, הוא מאפשר נעילת הטלפון אם יש Apple Watch נעול בקרבת מקום. כל מה שהוא באמת עושה הוא להחליף הזנת PIN בטלפון עם הזנת קוד קוד בשעון. וזה יכול להועיל.

כמה מועיל – ולעניין – כמה נוח יותר? זה רעיון טוב יותר, אבל אני לא כל כך בטוח שזה הרבה יותר מגימיק. רוב משתמשי האייפון עדיין צריכים להזין את ה- PIN של האייפון שלהם פעמים רבות ביום. עבור רובנו זה עכשיו זיכרון שרירים ובקושי לוקח שנייה. אם זה רק חוסך שנייה או שתיים זמן, אני לא משוכנע שזה שווה את המאמץ.

כפי שצוין לעיל, שילוב האימות של Apple Watch-iPhone – מה שמשחק את רעיון המארח המהימן של יוניקס, בכך שהוא אומר: “אם כבר אימתת את עצמך בשעון, אני אאמין לך” – לא עובד עם כל יישום רגיש של צד שלישי המשתמש בזיהוי הפנים של אפל לצורך אימות. אנחנו מדברים כאן על פוני של טריק אחד, משהו שיכול לפתוח רק את האייפון ואז רק אם הוא מזהה מסכה. זה עשוי להיות שימושי יותר בחורף כאשר לובשים כפפות ומסכת סקי מעל מסכת קוביד, כאשר גישה לאצבעות היא טרחה.

באשר לאבטחה, גמבי נוחות זה הולך להקל על הרעים בחיים. נניח שמישהו גונב את אחד הטלפונים של העובד שלך וצפה, אולי כשהם נרדמים ברכבת התחתית או ברכבת. או אולי פשוט במהלך ספיגה בנקודת סכין.

למרות הגנות האבטחה הרעות של אפל, זה לא כל כך קשה להיכנס. ראשית, אפל עשתה מהלך חלקי טוב בכך שהיא מאפשרת ואז עידדה את קוד ה- PIN הארוך יותר. הסיכון הגדול עם קוד PIN – מעבר למידת הניחוש שלו – הוא גלישת כתפיים. ככל שה- PIN ארוך יותר, כך קשה יותר לגלוש בכתפיים. אבל השעון עדיין לא עבר מעבר ל- PIN בן 4 ספרות, שקל לראות אותו מעל הכתף. פירוש הדבר שניתן למחוק את כל אבטחת אפל באמצעות PIN בן 4 ספרות. לא טוב.

הגנב רק צריך ללבוש מסכה (קלה) ולהשתמש ב- PIN בן 4 הספרות על השעון והם נמצאים שם.

מה הם יכולים לקבל? לא מעט: כל הדוא”ל, כל הטקסטים, כל דבר באפליקציית הערות, כל הצילומים, כל הדואר הקולי, כל מספרי השיחות הנכנסים והיוצאים האחרונים, היסטוריית מיקומים גיאוגרפיים, רשימה של כל המקומות שהועברו לאחרונה (ולא כל כך לאחרונה) וכו ‘. הם אולי לא יוכלו לקנות שום דבר או להעביר כסף, אבל עבור מרגל ארגוני זה עדיין מהווה אוצר עצום של נתונים רגישים.

הסיבה שהגנב צריך לגנוב גם את הטלפון וגם את השעון היא שאפל הציבה אמצעי הגנה קטן למקרה שמישהו יגנוב את הטלפון וינסה לפתוח אותו כשאתה נמצא בקרבת מקום, אולי בבית קפה (בכל פעם שאנשים חוזרים לשבת בבתי קפה). כאשר נעילת האייפון נעשית, המשתמש מקבל הודעה על ידי רטט שעון שמצביע על פתיחת הטלפון. לאחר מכן הוא מציע בקצרה אפשרות לעקוף את התהליך ולנעול את המכשיר הנייד. (זה מניח שהמשתמש מסוגל להסתכל מיד בטלפון שלו ולהגיב.)

בעיקרון זה אומר שיש להחליף את שני המכשירים החכמים. אמנם זה דורש רמה של תת-תחבולות והתגנבות שלא יהיה קל למשוך – והאם חברות באמת רוצות לקחת את הצ’אנס הזה? אם החברה שלך היא היעד של גנב סייבר או מרגל ארגוני, והנתונים שהם רודפים אחריהם שווים מיליונים, זו יכולה להיות דרך פשוטה יחסית לפגוע בעסק שלך.

הערה צדדית: 9to5mac טוען שאפל מאפשרת רחוק יותר גישה כאשר ה- Apple Watch מדבר עם מק, לעומת השעון המדבר עם אייפון. “ב- Mac ניתן להשתמש ב- Apple Watch למגוון משימות אימות שונות, כולל גישה לפקדים בהעדפות מערכת, ביצוע רכישות של Apple Pay ועוד”, נכתב בסיפור.

מטעמי אבטחה, אנו יכולים להיות שמחים שאפל מגנה על ה- iPhone טוב יותר מאשר ה- Mac. ובכל זאת, זה לא הולך כמעט רחוק מספיק.

זכויות יוצרים © 2021 IDG תקשורת בע”מ

Leave a Reply

Your email address will not be published. Required fields are marked *