Исследователь безопасности шокирован уязвимостями в iOS и Android


Исследователь безопасности из Университета Джона Хопкинса шокирован количеством уязвимостей, которые ему удалось найти в iOS и Android. Это было раскрыто в рамках отчета Wired, который показывает, что безопасность и шифрование в iOS и Android недостаточно сильны и позволяют правительственным и правоохранительным органам взламывать смартфоны.

В отчете показано, что исследователи безопасности из Университета Джона Хопкинса использовали официальную документацию Apple и Google для анализа надежности шифрования в iOS и Android. Исследователи также использовали предыдущую документацию о различных методах, которые применялись правоохранительными органами и злоумышленниками для обхода безопасности смартфонов с помощью инструментов взлома.

Криптограф Джонса Хопкинса Мэтью Грин, который курировал исследование, рассказал Wired, что он был шокирован тем, насколько плохой была безопасность в обеих основных мобильных операционных системах.

«Это просто шокировало меня, потому что я пришел в этот проект, думая, что эти телефоны действительно хорошо защищают пользовательские данные. Теперь я вышел из проекта, думая, что почти ничто не защищено так, как могло бы быть. Так зачем же нам нужен бэкдор для правоохранительных органов, если защита, которую на самом деле предлагают эти телефоны, настолько плоха? »

Максимилиан Зинкус, аспирант Университета Джона Хопкинса, который руководил анализом безопасности iOS, отметил, что структура для шифрования существует в iOS, но многие из них остаются неиспользованными. Это, вероятно, баланс между удобством использования, функциями и безопасностью.

«В частности, на iOS имеется инфраструктура для этого иерархического шифрования, которое звучит очень хорошо. Но я был определенно удивлен, увидев, сколько из этого не используется ».

В отчете также отмечен пробел в шифровании при резервном копировании в облако. Например, резервные копии iCloud зашифрованы во время передачи и на сервере, но они не зашифрованы сквозным шифрованием, как другие службы Apple. Данные также доступны на других связанных устройствах Apple, что на самом деле является функцией, но также может представлять угрозу, если к одному из них будет получен физический доступ.

«Это тот же тип вещей, когда доступна отличная криптовалюта, но она не обязательно используется все время. А при резервном копировании вы также расширяете объем данных, доступных на других устройствах. Так что, если ваш Mac также будет изъят при поиске, это потенциально расширит доступ правоохранительных органов к облачным данным ».

В отчете также указывается, что Android отстает с точки зрения безопасности, потому что исправления часто не доступны вовремя или вообще не доступны на многих смартфонах из-за различий в OEM-производителях, операторах связи и т. Д.

Представитель Apple сделал заявление для Wired относительно уязвимостей и указал, что для работы этих хаков требуется физический доступ к целевому устройству, и что эти хаки перестают работать после того, как компания выпустит патч.

«Устройства Apple разработаны с несколькими уровнями безопасности для защиты от широкого спектра потенциальных угроз, и мы постоянно работаем над добавлением новых средств защиты для данных наших пользователей»,

Чтобы улучшить свою безопасность, Apple внедрила программу вознаграждения за ошибки, а недавно представила новую программу исследования устройств безопасности.

Ознакомьтесь с полной статьей Вот, это стоит прочитать.

Похожие записи

Добавить комментарий