Sytuacje, w których bezpieczeństwo Apple zawiodło

Produkcja z logiem nadgryzionego jabłka zawsze była kojarzona z wysokim stopniem bezpieczeństwa. Co tu dużo mówić, nawet FBI w 2016 roku nie udało się własnymi siłami włamać na Iphone’a islamskiego terrorysty, więc musieli prosić o pomoc samą korporację. Ta grzecznie odmówiła tłumacząc się troską o dane każdego ze swoich użytkowników. Jak się jednak okazuje, Apple nie zawsze dba o bezpieczeństwo własnych urządzeń.

Korporacja Apple posiada technologię szyfrowania danych tak skuteczną, że bez znajomości hasła odblokowanie Iphone’ów nie jest możliwe. Co więcej, dziesięciokrotnie wpisane niepoprawne hasło spowoduje natychmiastowe skasowanie wszystkich zawartych w telefonie informacji.

Niemniej jednak drobne przewinięcia pod względem bezpieczeństwa w korporacji z Cupertino zdarzały się od bardzo dawna. Różnego rodzaju wiadomości o tym, jak rzekomo można zhackować Iphone’a lub zrobić z niego „bezużyteczną cegłę” za pośrednictwem jednego symbolu wysłanego na jakimkolwiek messengerze, sporadycznie pojawiały się w sieci. Tego typu drobne luki Apple skutecznie wykrywało i za pomocą szybkich updatów rozwiązywało problem.

Ignorowane luki

Jednym z większych kryzysów korporacji okazała się sytuacja, kiedy pozwoliła ona sobie na dłuższe ignorowanie możliwości zalogowania się do konta root na zablokowanym urządzeniu z systemem MacOS High Sierra 10.13.1. Jak wskazują różne źródła, dopiero po kilku miesiącach od momentu, kiedy w Apple dowiedzieli się o powstałym problemie i publicznym ujawnieniu luki przez jednego z użytkowników Twittera, została ona usunięta.

Na tym bagatelizowanie luk bezpieczeństwa się nie kończy. Dosłownie taka sama sytuacja powtórzyła się niedawno z dedykowanym komunikatorem FaceTime. Tworząc rozmowę grupową można było usłyszeć otoczenie telefonu użytkownika, do którego się dzwoniło, zanim jeszcze odbierał połączenie. Jeśli natomiast próbował wyciszyć takie połączenie przychodzące przyciskiem „Power”, sprawca również mógł podglądać obraz z kamery iPhone’a. W tym przypadku o bugu także było wiadomo od jakiegoś czasu, a nawet po coraz większej ilości zgłoszeń użytkowników, dopiero po tygodniu korporacja Apple podjęła kroki w stronę rozwiązania tego problemu. Grupowe połączenia FaceTime zostały całkowicie wyłączone, a technicy z Cupertino zaczęli naprawiać usterkę.

Bagatelizować bezpieczeństwo danych użytkowników można nie tylko na poziomie technicznym urządzeń. Firma Apple „pozwalała” aplikacjom, które są dystrybuowane w sklepie AppStore, na nagrywanie ekranu podczas korzystania z ich interfejsu. Mogły to robić nawet bez naszej wiedzy lub zgody. Najczęściej też odbywało się to bez maskowania danych użytkowników. Aplikacja Air Canada i szereg innych mogły podczas rejestracji aktywności użytkownika otrzymać nieszyfrowane dane karty oraz inne wrażliwe informacje wprowadzane w odpowiednich polach tych aplikacji. A to wszystko było możliwe ze względu na usługi Glassbox, firmy analizującej rynek konsumencki. Dopiero po nagłośnieniu incydentu korporacja Apple zwróciła się z oficjalnym oświadczeniem do firm zamieszczających swoje aplikacje w AppStore o przestrzeganie zasad dotyczących dostępu do wrażliwych danych użytkowników podczas korzystania z opcji zbierania statystyk. Jak twierdzi Apple, aplikacje muszą wyraźnie informować użytkowników o tego typu działaniach, pytając o zezwolenie. W przeciwnym wypadku powinny usunąć kod Glassbox pozwalający na śledzenie aktywności.

Jak widać, firma, której produkcja szczyci się wysokim poziomem bezpieczeństwa, często sama stwarza sytuacje ułatwiające dostęp do wrażliwych danych użytkownika. W takim przypadku trzeba zawsze pamiętać, że to przede wszystkim my jesteśmy odpowiedzialni za to, na ile bezpieczne są nasze prywatne dane. Zachęcamy zatem do przeczytania artykułu na temat wykrywania podsłuchów i oprogramowania szpiegującego na urządzeniach elektronicznych.

Dodajemy również kilka porad, jak zabezpieczyć swojego Iphone’a. Będą to przydatne wskazówki nie tylko dla tych, którzy boją się inwigilacji ze strony wspomnianego wyżej FBI, ale i w przypadkach, kiedy do naszego telefonu mogą się dostać nieuprawnione osoby trzecie.

10 wskazówek bezpieczeństwa

1. Wybieraj hasło blokady ekranu i unikaj TouchID i FaceID. Wymienione technologie wciąż są niedoskonałe, odciski palców i twarz właściciela telefonu można umiejętnie podrobić. W skrajnych przypadkach twój palec można podsunąć pod czytnik linii papilarnych nawet siłą.
2. Warto ustawić dłuższe alfanumeryczne hasło blokady ekranu, a nie zwykły 6-cyfrowy kod. Złamanie takiego kodu na iPhonie może zająć około 22 godzin. Z kolei kod składający się z 11 cyfr zwiększy ten czas do 127 lat.
3. Należy pamiętać o ustawieniu opcji „Require Passcode” na „Immediately”. Bez włączenia tej opcji po zablokowaniu telefonu jeszcze w ciągu jakiegoś (chociaż bardzo krótkiego) czasu będzie można go odblokować bez wpisywania kodu.
4. Opcja „Erase Data” powinna być włączona. Pozwala ona na całkowite usunięcie wszystkich danych zawartych w telefonie po 10 nieudanych próbach wprowadzenia hasła.
5. Opcja „Notification view” musi być wyłączona. Złodziej nie koniecznie będzie musiał odblokowywać telefon, jeśli wszystkie ważne informacje znajdzie w powiadomieniach wyświetlanych na zablokowanym ekranie urządzenia. Mogą to być historyczne wiadomości z naszej skrzynki mailowej i różnych komunikatorów typu Facebook Messenger, a nawet powiadomienia z aplikacji kalendarza.
6. W ramach poprzedniego punktu warto również wyłączyć opcję podglądu treści wiadomości SMS. Pozwoli to na niewyświetlenie SMS-ów na zablokowanym ekranie. Opcja bardzo przydatna, bo w wiadomościach tekstowych często otrzymujemy chociażby jednorazowe hasła do bankowości czy wrażliwe dane od naszych kontaktów.
7. iCloud musi zostać wyłączony. Ciężko jest sobie wyobrazić współczesne życie bez używania serwisów chmur, w których można przechowywać kopie zapasowe naszych urządzeń. Jednakże kopiowane do iCloud dane mogą być na wniosek sądu odszyfrowane i udostępnione przez samą korporację Apple. W przypadkach, kiedy nie można się obejść bez chmury, zalecamy wyłączyć kopię bezpieczeństwa i opcję FindMyiPhone, która umożliwia Apple śledzenie aktualnej pozycji telefonu.
8. Natomiast bardzo przydatną funkcją jest iMessage. Dzięki niej wiadomości wymieniane między iPhone’ami będą szyfrowane i niedostępne dla operatorów GSM i korporacji z Cupertino. Dla pozostałych wiadomości można używać aplikacje typu Signal.
9. Musimy też uważać na urządzenia otaczające naszego iPhone’a. Po podpięciu telefonu do portu USB komputera trzeba kilka razy się zastanowić przed naciśnięciem przycisku „Zaufać”, zwłaszcza jeśli nie jest to nasz PC lub laptop. Potwierdzenie zaufania będzie oznaczać, że telefon wyśle na komputer klucz, za pomocą którego można bez znajomości hasła odblokować iPhone’a. Listę zaufanych urządzeń w każdej chwili można zresetować w opcjach telefonu „Reset Location & Privacy”.
10. I ostatnia, ale nie najmniej ważna zasada – nie wprowadzaj swojego hasła znajdując się w zasięgu kamer CCTV. Obecnie większość z nich ma tak dobrą rozdzielczość, że można z łatwością odczytać najmniejszy nadruk na tylnej części iPhone’ów, więc namierzenie znaków, które wciśniemy na ekranie telefonu, również nie będzie stanowić żadnego problemu.

Warto zauważyć, że powyższe zasady nie gwarantują w stu procentach bezpieczeństwa naszego urządzenia, ale z pewnością utrudnią nieuprawnionym osobom dostanie się do danych zawartych w telefonie.