Apple’s Device Finder-app kan u blootstellen, zeggen experts

Belangrijkste leerpunten

• Nieuw onthulde kwetsbaarheden in de apparaatzoeker-app van Apple kunnen uw locatie en identiteit onthullen.
• De app maakt gebruik van een crowd-sourced netwerk van miljoenen apparaten om ‘verloren’, niet-verbonden apparaten te lokaliseren met behulp van Bluetooth.
• Hackers kunnen ongeautoriseerde toegang krijgen tot uw locatiegeschiedenis van de afgelopen zeven dagen en deze in verband brengen met uw identiteit.

Het locatievolgsysteem waarmee je Apple-apparaten kunt vinden, kan ook je identiteit blootleggen, zeggen onderzoekers. Met offline zoeken kunt u Apple-apparaten lokaliseren, zelfs als ze niet zijn verbonden met internet. Apple heeft gezegd dat de app de privacy van gebruikers beschermt, maar gemelde beveiligingsfouten in de software laten zien dat anonimiteit moeilijk te vinden is op internet. Volgens een recent artikel gepubliceerd door onderzoekers van de Technische Universiteit van Darmstadt in Duitsland, kunnen hackers ongeautoriseerde toegang krijgen tot uw locatiegeschiedenis van de afgelopen zeven dagen en deze in verband brengen met uw identiteit. “Wat dit ons echt laat zien, is dat niets ooit 100% veilig is, en zelfs na de patches van Apple zullen aanvallers uiteindelijk nieuwe kwetsbaarheden vinden om te misbruiken”, zei Jason Glassberg, mede-oprichter van cyberbeveiligingsbedrijf Casaba Security, in een e-mailinterview. “Het grotere probleem hier is dat de privacy van gebruikers nooit kan worden gegarandeerd en dat mensen hun gemoedstoestand moeten veranderen van het idee ‘privé’ te zijn naar de realiteit van simpelweg ‘minder uitgebuit’ worden.”

Zoek en identificeer

Het Darmstadt-team ontdekte dat “het algehele ontwerp de specifieke doelen van Apple bereikt” op het gebied van privacy, maar ze ontdekten twee kwetsbaarheden “die buiten het dreigingsmodel van Apple lijken te vallen” en ernstige gevolgen kunnen hebben. “Het grotere probleem hier is dat de privacy van gebruikers nooit kan worden gegarandeerd.” Experts zeggen echter dat ze zich niet al te veel zorgen hoeven te maken over deze gebreken. “Hoewel er twee beveiligingsfouten werden gevonden in de functie Offline Finding van Apple, waren geen van beide bijzonder ernstig, en er zijn geen incidenten gemeld waarbij deze kwetsbaarheden in het wild werden uitgebuit”, zei Paul Bischoff, een privacy-expert voor Comparitech, in een e-mail. interview. “Apple heeft de ernstigste van de twee kwetsbaarheden al gepatcht, dus iPhone-bezitters moeten hun apparaten zo snel mogelijk updaten.” Een fout in de app zou Apple in staat stellen de locaties van gebruikers te volgen, wat in strijd zou zijn met het privacybeleid, zei Bischoff. “Dat gezegd hebbende, er zijn geen aanwijzingen dat Apple misbruik heeft gemaakt van deze kwetsbaarheid, en de onderzoekers hebben niet gezegd dat het misbruikt zou kunnen worden door een externe aanvaller.”

Een andere bug gaf een aanvaller toegang tot de locatiegeschiedenis die op een iPhone was opgeslagen, hoewel ze eerst een iPhone met malware moesten infecteren. Hoewel Apple dit probleem misschien heeft verholpen, laten de gebreken in de “Find My”-app zien hoe locatiegegevens kunnen onthullen waar iemand woont en werkt. “Als een gebruiker bijvoorbeeld een specifieke mobiele app voor zijn auto heeft, kan een GPS-stream de trends van die gebruiker identificeren wanneer ze het kantoor verlaten, waardoor ze aan carjacking kunnen worden blootgesteld”, zegt Mark Pittman, CEO van Blyncsy, een beweging en gegevens inlichtingenbedrijf, zei in een e-mailinterview. “Evenzo, als een gebruiker GPS deelt vanuit een dating-app, kan het door een roofdier worden gebruikt om een ​​gebruiker te volgen en mogelijk aan te vallen.”

Hoe u uzelf kunt beschermen?

Stel dat u zich zorgen maakt dat uw identiteit wordt onthuld. In dat geval kunt u zich afmelden voor het “Find My”-netwerk in de instellingen van de Find My iPhone-app, zei cyberbeveiligingsexpert Chris Hazelton, directeur beveiligingsoplossingen bij Lookout, in een e-mailinterview. “Als ze dubbel zeker willen zijn, kunnen gebruikers Bluetooth uitschakelen, dat wordt gebruikt om verbinding te maken met verloren apparaten”, zei Hazelton. “Hoewel het moeilijk is om te voorkomen dat uw locatie in het algemeen wordt gevolgd, is een van de beste praktijken om geen enkele app uw locatie continu te laten volgen.” De beslissing om al dan niet voor de “Find My” -service te kiezen, komt neer op de gebruiker, zei Hazelton. Ze moeten beslissen of de voordelen van locatieservice opwegen tegen de risico’s van het delen van hun locatie. “Voor diensten zoals Zoek mijn iPhone,” voegde hij eraan toe, “zullen de meeste gebruikers die hun apparaat zijn kwijtgeraakt waarschijnlijk ja zeggen.”