Header Ads Widget

Ticker

6/recent/ticker-posts

Apple pisotea la seguridad en nombre de la conveniencia

 

Apple planea con iOS 14.5 permitir que los empleados empresariales enmascarados accedan a sus iPhones si también usan un Apple Watch (con WatchOS 7.4), que está desbloqueado. Atención: esta es una compensación esencial entre la conveniencia y la seguridad de Apple, y si no insiste en que los trabajadores se abstengan de usar la función, la seguridad corporativa se verá afectada.

En resumen, será mucho más fácil para los espías corporativos y los ladrones cibernéticos enganchar la propiedad intelectual de su empresa, que se está creando, almacenando y enviando dentro de los teléfonos inteligentes hoy en día a un ritmo mucho mayor que en 2019, también conocido como el tiempo anterior a COVID-19. .

Apple se ha negado a permitir que esta conveniencia haga otra cosa que no sea abrir el teléfono (lo cual es bastante malo). Y no permitirá que la función omita la autenticación de identificación facial para AppleCard, ApplePay o cualquier aplicación de terceros (como bancos y firmas de inversión) que hayan adoptado Face ID. Eso le dice prácticamente todo lo que necesita saber acerca de qué tan importante es este movimiento para la seguridad.

Profundicemos en lo que ha hecho Apple y demos crédito a lo que corresponde. Como medida de seguridad, es horrible, y esa debería ser la principal preocupación de la TI empresarial, ya que pone en peligro los datos corporativos ultrasensibles. Dicho esto, es una dosis de conveniencia bastante impresionante.

Primero, esto se basa absolutamente en una pandemia, ya que el proceso de desbloqueo comienza al escanear la existencia de alguien con una máscara. Una vez que determina eso, permite que el teléfono se desbloquee si hay un Apple Watch desbloqueado cerca. Todo lo que realmente hace es reemplazar una entrada de PIN en el teléfono con una entrada de PIN anterior en el reloj. Y eso puede resultar útil.

¿Qué tan útil y, al grano, cuánto más conveniente? Es una mejor idea, pero no estoy tan seguro de que sea mucho más que un truco. La mayoría de los usuarios de iPhone todavía tienen que ingresar su PIN de iPhone muchas veces al día. Para la mayoría de nosotros, ahora es memoria muscular y apenas toma un segundo. Si solo ahorra uno o dos segundos de tiempo, no estoy convencido de que valga la pena el esfuerzo.

Como se señaló anteriormente, la combinación de autenticación de Apple Watch-iPhone, que en cierto modo juega con el concepto de host confiable de Unix, en el sentido de que dice: "Si ya te has autenticado en el Watch, confiaré en ti", no funciona con cualquier aplicación sensible de terceros que utilice el reconocimiento facial de Apple para la autenticación. Estamos hablando de un pony de un solo truco, algo que solo puede abrir el iPhone y solo si detecta una máscara. Esto podría ser más útil en el invierno cuando se usan guantes y un pasamontañas sobre una máscara Covid, donde el acceso con los dedos es una molestia.

En cuanto a la seguridad, esta táctica de conveniencia les hará la vida mucho más fácil a los malos. Digamos que alguien roba el teléfono y el reloj de uno de sus empleados, tal vez cuando se duermen en el metro o en el tren. O quizás simplemente durante un atraco a punta de cuchillo.

A pesar de las publicitadas protecciones de seguridad de Apple, no es tan difícil ingresar. Primero, Apple hizo un buen movimiento parcial al permitir y luego alentar PIN más largos. El gran riesgo con un PIN, más allá de lo adivinables que son, es navegar por los hombros. Cuanto más largo sea el PIN, más difícil será navegar por los hombros. Pero el reloj aún tiene que moverse más allá de un PIN de 4 dígitos, que es fácil de ver desde arriba del hombro. Eso significa que toda la seguridad de Apple se puede eliminar con un PIN de 4 dígitos. No está bien.

El ladrón simplemente necesita ponerse una máscara (fácil) y usar el PIN de 4 dígitos en el reloj y ya está.

¿Qué pueden conseguir? Bastante: todos los correos electrónicos, todos los mensajes de texto, cualquier cosa en una aplicación de notas, todas las fotografías, todos los mensajes de voz, todos los números de llamadas entrantes y salientes recientes, el historial de geolocalización, una lista de todos los lugares a los que se accedió recientemente (y no tan recientemente), etc. Es posible que no puedan comprar nada o transferir dinero, pero para un espía corporativo, esto aún representa un enorme tesoro de datos confidenciales.

La razón por la que el ladrón necesita robar tanto el teléfono como el reloj es que Apple ha implementado una pequeña protección en caso de que alguien robe el teléfono e intente abrirlo cuando estás cerca, tal vez en una cafetería (siempre que la gente vuelva a sentarse en cafeterías). Cuando el iPhone se desbloquea, el usuario recibe una notificación mediante una vibración en el reloj que indica que el teléfono se ha desbloqueado. Luego ofrece brevemente la opción de anular el proceso y bloquear el dispositivo móvil. (Esto supone que el usuario puede mirar instantáneamente su teléfono y reaccionar).

Esencialmente, significa que ambos dispositivos inteligentes deben deslizarse. Si bien eso requiere un nivel de subterfugio y sigilo que no será fácil de lograr, ¿y las empresas realmente quieren arriesgarse? Si su empresa es el objetivo de un ladrón cibernético o un espía corporativo, y los datos que están buscando valen millones, esta podría ser una forma relativamente simple de dañar su negocio.

Nota al margen :  9to5mac sostiene que Apple permite mucho más acceso cuando el Apple Watch está hablando con una Mac, en comparación con el reloj hablando con un iPhone. "En la Mac, el Apple Watch se puede usar para una variedad de diferentes tareas de autenticación, incluido el acceso a los controles en las Preferencias del Sistema, realizar compras con Apple Pay y más", dice la historia.

Por motivos de seguridad, podemos alegrarnos de que Apple proteja el iPhone mejor que la Mac. Aún así, no pasa casi lo suficientemente lejos.

Publicar un comentario

0 Comentarios