Meg tudunk találni egy ellopott Macet akkor is, ha alvó módban van…
- olvasom több helyen is az állítást. Igen, a T2-es chippel ellátott Mac-ek a következő macOS verzióban már tudni fogják ezt: Bluetooth beaconokká válnak, kibocsátanak egy alacsony energiájú jelet, amit bárki almás eszköze érzékelhet. Aztán, mint egy nagy testvéri hálózatban, a jelet az eszközök továbbítják az Apple számára, aki meg ezt továbbítja az eszközt kereső személynek.
Az egész titkosított és névtelen. Minimum két Apple eszközödnek kell lennie, a Find My-jal. Mindkét eszközöd egy-egy folyamatosan megújuló, de páronként megegyező kulcsot állít elő, és ennek hash kódját küldözgeti. A Mac, ha elvesztetted, mások közeli Apple-eszközeinek segítségével. Az Apple-nek csak annyi a dolga, hogy az egyik - meglévő, tehát a keresési kérelmet elküldött eszköz - kulcsával azonosat keressen a rendszerben. Ha egyezik, a titkosított helyadatot a készülékünk a kulccsal visszafejtheti, és megtalálja az elveszett laptopot.
Az ellopottat is? Nem, azt nem hinném.
Ugyanis jó ideje tudhatja minden tolvaj, hogy elektronikai eszöz lopása esetén az első dolog, hogy ki kell kapcsolni az eszközt. Megakadályozza valami ebben őket? A világon semmi.
Csakhogy a kikapcsolás pillanatában elveszik a lehetősége annak, hogy a készülék felcsatlakozzon a netre a háttérben, vagy hogy beacon jelet küldözgessen, akármilyen kifinomult eljárással is teszi ezt. Persze az Apple fejlesztése nem rossz, és elvesztés esetén segít, de hogy lopásnál is segítsen, ahhoz más kellene. Egy különálló, aprócska akksi, ami csak a T2 chip jeladóját látja el, és mivel nagyon kicsi az áramszükséglet, sokáig meg is teszi. A kisakksit a nagyakksi tölti, ha minden oké, viszont ha a nagyakksi kikapcsol, életben marad a pici.
Ez nem illúzió lenne, hanem valódi biztonság.
De nem ez az egyetlen, amiben az Apple biztonsági állításai hamisnak, vagy legalábbis féligaznak bizonyulnak. Ebben a Wired cikkben pedig arról van szó, hogy Mojave egy éve életben lévő biztonsági megoldásai - ami abból áll, hogy a felhasználó rákattint egy gombra, miszerint engedélyezi vagy megtiltja az érzékeny adatok átadását egy külső program számára - nem éppen kijátszhatatlanok. Sőt. A gépi klikkek segítségével - ami egy kisegítő lehetőség azoknak, akik nem tudnak egeret vagy trackpadet használni - simán lekattinthatóak voltak ezek az ablakok. És nem is kellett a felhasználó beleegyezése a gépi klikkelésbe: malware-ek is képesek voltak rá.
Egyszerűen azért, mert bizonyos appok számára - VLC például - nem kellett engedély, hogy használják a synthetic clicks szolgáltatást. Patrick Wardle, ex NSA biztonsági szakértő a tavalyi évben több módszerrel is átment ezen a biztonsági kerítésen, és mint elmondta, ha módosítja a VLC kódját, akkor onanntól kezdve a saját malware-je is simán lekattinthatja azokat az ablakokat, ami a malware számára átadott érzékeny információkat akadályozhatnák meg. Az Apple ellenőrzi ugyan, hogy az adott app kapott-e már engedélyt a synthetic click-re, de leginkább csak a nevét nézi, a kódot nem. Ha VLS ruhába öltözik, szinte bármi megkapja az engedélyt.
Az Apple állítólag nem reagált azokra az üzenetekre, amikben felhívta a figyelmet a problémákra, és nem is javították a dolgot. És ha ez így van, akkor félő, hogy az Apple, noha egyre erőteljesebben hangoztatja a privacy és a security szavakat, tényleg marketing eszközként tekint ezekre. Valódi fejlesztés zajlik persze náluk, de a megoldásaik sokszor lyukasak, mint egy sajtreszelő. Abban biztosak lehetünk, hogy szándékosan nem fogják átadni az adatainkat másoknak - ahogy sok cég teszi -, és hogy minden erejükkel meg is védik az információkat. De hogy mekkora ez az erő, arról talán rossz kép van a fejünkben.
Lehet, hogy a Mac-eseket továbbra is az egyre vastagodó árcédula védi meg leginkább a támadásoktól. Ez tartja garantáltan 10% alatt a piaci részesedést, történjen bármi, és egyben ez az, ami kellő mennyiségű pénzt ad az Apple-nek ahhoz, hogy az adatainkra költsön, és ne hasznot húzzon belőlük.
Az viszont a mi feladatunk, hogy számon kérjük rajtuk a ráfordított költés és figyelem mértékét. A baj addig van, amíg azt hisszük, a biztonság számunkra ingyen van. Egy Mac árában igenis tételesen ott kellene szerepelnie a szoftverek, az operációs rendszer, a biztonsági megoldások, a privacy és a többi járulékos csomag árának. És akkor tiszta sor, hogy nem egy ingyenes szolgáltatás miatt reklamálunk, amikor azt kérjük, hogy használják a közösség és az etikus hackerek bejelentéseit, hanem a pénzünkön vásárolt jogunkkal élünk.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.