Belangrijkste afhaalrestaurants
- Nieuwe kwetsbaarheden in de apparaatzoeker-app van Apple kunnen je locatie en identiteit onthullen.
- De app gebruikt een crowd-sourced netwerk van miljoenen apparaten om 'verloren', niet-verbonden apparaten te lokaliseren met behulp van Bluetooth.
- Hackers kunnen ongeautoriseerde toegang krijgen tot uw locatiegeschiedenis van de afgelopen zeven dagen en deze in verband brengen met uw identiteit.
Het locatievolgsysteem waarmee je Apple-apparaten kunt vinden, kan ook je identiteit blootleggen, zeggen onderzoekers.
Met offline zoeken kun je Apple-apparaten lokaliseren, zelfs als ze niet zijn verbonden met internet. Apple heeft gezegd dat de app de privacy van gebruikers beschermt, maar gemelde beveiligingsfouten in de software laten zien dat anonimiteit moeilijk te vinden is op internet. Volgens een recent artikel gepubliceerd door onderzoekers van de Technische Universiteit van Darmstadt in Duitsland, kunnen hackers ongeautoriseerde toegang krijgen tot uw locatiegeschiedenis van de afgelopen zeven dagen en deze in verband brengen met uw identiteit.
"Wat dit ons echt laat zien, is dat niets ooit 100% veilig is, en zelfs na de patches van Apple zullen aanvallers uiteindelijk nieuwe kwetsbaarheden vinden om te misbruiken", zei Jason Glassberg, mede-oprichter van cyberbeveiligingsbedrijf Casaba Security, in een e-mailgesprek. "Het grotere probleem hier is dat de privacy van gebruikers nooit kan worden gegarandeerd en dat mensen hun gemoedstoestand moeten veranderen van het idee 'privé' te zijn naar de realiteit van simpelweg 'minder uitgebuit' worden."
Zoeken en identificeren
Het Darmstadt-team ontdekte dat "het algehele ontwerp de specifieke doelen van Apple bereikt" op het gebied van privacy, maar ze ontdekten twee kwetsbaarheden "die buiten het dreigingsmodel van Apple lijken te vallen" en ernstige gevolgen kunnen hebben.
Het grotere probleem hier is dat de privacy van gebruikers nooit kan worden gegarandeerd.
Deskundigen zeggen echter dat ze zich niet al te veel zorgen hoeven te maken over deze gebreken.
"Hoewel er twee beveiligingsfouten zijn gevonden in de functie Offline Finding van Apple, waren geen van beide bijzonder ernstig, en er zijn geen incidenten gemeld waarbij deze kwetsbaarheden in het wild werden misbruikt", Paul Bischoff, een privacy-expert voor Comparitech, zei in een e-mailinterview. "Apple heeft de ernstigste van de twee kwetsbaarheden al gepatcht, dus iPhone-bezitters moeten hun apparaten zo snel mogelijk updaten."
Een fout in de app zou Apple in staat stellen de locaties van gebruikers te volgen, wat in strijd zou zijn met zijn privacybeleid, zei Bischoff. "Dat gezegd hebbende, zijn er geen aanwijzingen dat Apple misbruik heeft gemaakt van deze kwetsbaarheid, en de onderzoekers hebben niet gezegd dat het misbruikt zou kunnen worden door een externe aanvaller."
Een andere bug gaf een aanvaller toegang tot de locatiegeschiedenis die op een iPhone was opgeslagen, hoewel ze eerst een iPhone met malware moesten infecteren. Hoewel Apple dit probleem misschien heeft verholpen, laten de gebreken in de "Find My"-app zien hoe locatiegegevens kunnen onthullen waar iemand woont en werkt.
"Als een gebruiker bijvoorbeeld een specifieke mobiele app voor zijn auto heeft, kan een GPS-stream de trends van die gebruiker identificeren wanneer hij het kantoor verlaat, waardoor hij kan worden blootgesteld aan carjacking," Mark Pittman, CEO van Blyncsy, een bewegings- en data-intelligentiebedrijf, in een e-mailinterview. "Op dezelfde manier, als een gebruiker GPS deelt vanuit een dating-app, kan het door een roofdier worden gebruikt om een gebruiker te volgen en mogelijk aan te vallen."
Hoe u uzelf kunt beschermen
Stel dat je je zorgen maakt dat je identiteit wordt onthuld. In dat geval kunt u zich afmelden voor het "Find My"-netwerk in de instellingen van de Find My iPhone-app, zei cyberbeveiligingsexpert Chris Hazelton, directeur beveiligingsoplossingen bij Lookout, in een e-mailinterview.
"Als ze dubbel zeker willen zijn, kunnen gebruikers Bluetooth uitschakelen, dat wordt gebruikt om verbinding te maken met verloren apparaten", zei Hazelton. "Hoewel het moeilijk is om te voorkomen dat uw locatie in het algemeen wordt gevolgd, is een van de beste praktijken om geen enkele app uw locatie continu te laten volgen."
De beslissing om zich aan te melden voor de "Vind mijn"-service komt neer op de gebruiker, zei Hazelton. Ze moeten beslissen of de voordelen van locatieservice opwegen tegen de risico's van het delen van hun locatie.
"Voor diensten zoals Zoek mijn iPhone," voegde hij eraan toe, "zullen de meeste gebruikers die hun apparaat zijn kwijtgeraakt waarschijnlijk ja zeggen."