Mga Key Takeaway
- Ang mga bagong nahayag na kahinaan sa device finder app ng Apple ay maaaring magbunyag ng iyong lokasyon at pagkakakilanlan.
- Gumagamit ang app ng crowd-sourced network ng milyun-milyong device para mahanap ang "nawawala, " mga hindi nakakonektang device gamit ang Bluetooth.
- Maaaring makakuha ng hindi awtorisadong pag-access ang mga hacker sa iyong history ng lokasyon sa huling pitong araw at iugnay ito sa iyong pagkakakilanlan.
Ang system sa pagsubaybay sa lokasyon na tumutulong sa iyong mahanap ang mga Apple device ay maaari ding ilantad ang iyong pagkakakilanlan, sabi ng mga mananaliksik.
Binibigyang-daan ka ng Offline Finding na mahanap ang mga Apple device kahit na hindi nakakonekta ang mga ito sa internet. Sinabi ng Apple na pinoprotektahan ng app ang privacy ng user, ngunit ang mga naiulat na mga bahid sa seguridad sa software ay nagpapakita ng pagiging anonymity na mahirap makuha sa internet. Ayon sa isang kamakailang papel na inilathala ng mga mananaliksik mula sa Technical University of Darmstadt sa Germany, ang mga hacker ay maaaring makakuha ng hindi awtorisadong pag-access sa iyong history ng lokasyon sa nakalipas na pitong araw at iugnay ito sa iyong pagkakakilanlan.
"Ang talagang ipinapakita nito sa amin ay walang 100% na ligtas, at kahit na matapos ang mga patch ng Apple, ang mga umaatake ay makakahanap ng mga bagong kahinaan upang pagsamantalahan," sabi ni Jason Glassberg, co-founder ng cybersecurity firm na Casaba Security, sa isang panayam sa email. "Ang mas malaking isyu dito ay ang pagiging pribado ng user ay hindi kailanman magagarantiyahan, at kailangang baguhin ng mga tao ang kanilang pag-iisip mula sa ideya ng pagiging 'pribado' sa katotohanan ng simpleng pagiging 'hindi gaanong pinagsasamantalahan.'"
Hanapin at Tukuyin
Natuklasan ng pangkat ng Darmstadt na "nakakamit ng pangkalahatang disenyo ang mga partikular na layunin ng Apple" para sa privacy, ngunit natuklasan nila ang dalawang kahinaan "na tila nasa labas ng modelo ng pagbabanta ng Apple" at maaaring magkaroon ng malubhang kahihinatnan.
Ang mas malaking isyu dito ay hindi kailanman matitiyak ang privacy ng user.
Sinasabi ng mga eksperto na huwag masyadong mag-alala tungkol sa mga depektong ito, gayunpaman.
"Bagaman may nakitang dalawang depekto sa seguridad sa tampok na Offline Finding ng Apple, wala sa mga ito ang partikular na malala, at walang naiulat na mga insidente ng mga kahinaang ito na pinagsamantalahan sa ligaw," Paul Bischoff, isang eksperto sa privacy para sa Comparitech, sinabi sa isang panayam sa email. "Na-patch na ng Apple ang mas malala sa dalawang kahinaan, kaya dapat i-update ng mga may-ari ng iPhone ang kanilang mga device sa lalong madaling panahon."
Ang isang depekto sa app ay magbibigay-daan sa Apple na subaybayan ang mga lokasyon ng mga user, na labag sa patakaran sa privacy nito, sabi ni Bischoff. "Sabi nga, walang ebidensya na nagmumungkahi na sinamantala ng Apple ang kahinaang ito, at hindi sinabi ng mga mananaliksik na maaari itong pagsamantalahan ng isang third-party na umaatake."
Ang isa pang bug ay nagpapahintulot sa isang umaatake na ma-access ang history ng lokasyon na nakaimbak sa isang iPhone, bagama't kailangan nilang mahawahan muna ng malware ang isang iPhone. Bagama't maaaring na-patch na ng Apple ang problemang ito, ang mga depekto sa "Find My" app ay nagbibigay-pansin kung paano maipapakita ng data ng lokasyon kung saan nakatira at nagtatrabaho ang isang tao.
"Halimbawa, kung may partikular na mobile app ang isang user para sa kanilang sasakyan, maaaring matukoy ng GPS stream ang mga trend ng user na iyon kapag umalis sila sa opisina na maaaring maglantad sa kanila sa carjacking," Mark Pittman, CEO ng Blyncsy, isang kumpanya ng kilusan at data intelligence, sa isang panayam sa email. "Katulad nito, kung ang isang user ay nagbabahagi ng GPS mula sa isang dating app, maaari itong gamitin ng isang mandaragit upang subaybayan at potensyal na atakehin ang isang user."
Paano Protektahan ang Iyong Sarili
Ipagpalagay na nag-aalala ka na malantad ang iyong pagkakakilanlan. Kung ganoon, maaari kang mag-opt out sa network na "Find My" sa mga setting ng Find My iPhone app, itinuro ang eksperto sa cybersecurity na si Chris Hazelton, direktor ng mga solusyon sa seguridad sa Lookout, sa isang panayam sa email.
"Kung gusto nilang maging dobleng sigurado, maaaring i-off ng mga user ang Bluetooth, na ginagamit para kumonekta sa mga nawawalang device," sabi ni Hazelton. "Bagama't mahirap pigilan ang iyong lokasyon na masubaybayan sa pangkalahatan, ang isang pinakamahusay na kasanayan ay hindi payagan ang anumang app na patuloy na subaybayan ang iyong lokasyon."
Ang desisyon kung mag-o-opt in sa serbisyong "Find My" ay napupunta sa user, sabi ni Hazelton. Kailangan nilang magpasya kung ang mga benepisyo ng serbisyo sa lokasyon ay mas malaki kaysa sa mga panganib ng pagbabahagi ng kanilang lokasyon.
"Para sa mga serbisyo tulad ng Find My iPhone," dagdag niya, "malamang na oo ang karamihan sa mga user na nawala ang kanilang device."
