Seorang penyelidik keselamatan dari Universiti Johns Hopkins terkejut dengan jumlah kelemahan yang dia dapat temui dalam iOS dan Android. Ini didedahkan sebagai sebahagian daripada laporan oleh Wired, yang mendedahkan bahawa keselamatan dan penyulitan dalam iOS dan Android tidak cukup kuat dan membenarkan agensi penguatkuasaan kerajaan dan undang-undang menceroboh telefon pintar.
Laporan itu menunjukkan bahawa penyelidik keselamatan di Universiti John Hopkins menggunakan dokumentasi rasmi daripada Apple dan Google untuk menganalisis kekuatan penyulitan dalam iOS dan Android. Para penyelidik juga menggunakan dokumentasi masa lalu tentang pelbagai kaedah yang telah digunakan oleh agensi penguatkuasaan undang-undang dan pelaku berniat jahat, untuk memintas keselamatan pada telefon pintar menggunakan alat penggodaman.
Ahli kriptografi Johns Hopkins Matthew Green, yang menyelia penyelidikan, mendedahkan kepada Wired bahawa dia terkejut melihat betapa lemahnya keselamatan pada kedua-dua sistem pengendalian mudah alih utama.
“Ia benar-benar mengejutkan saya, kerana saya masuk ke dalam projek ini memikirkan bahawa telefon ini benar-benar melindungi data pengguna dengan baik. Sekarang saya telah keluar dari projek itu memikirkan hampir tiada apa yang dilindungi sebaik mungkin. Jadi mengapa kita perlu pintu belakang untuk penguatkuasaan undang-undang apabila perlindungan yang sebenarnya ditawarkan oleh telefon ini sangat teruk?”
Maximilian Zinkus, seorang pelajar PhD di Johns Hopkins yang mengetuai analisis keselamatan iOS, menegaskan bahawa struktur untuk penyulitan telah disediakan pada iOS, tetapi banyak daripadanya tidak digunakan. Ini berkemungkinan mengimbangi antara kemesraan pengguna, ciri dan keselamatan.
“Pada iOS khususnya, infrastruktur telah disediakan untuk penyulitan hierarki ini yang kedengarannya sangat bagus. Tetapi saya pasti terkejut apabila melihat berapa banyak daripadanya tidak digunakan.”
Laporan itu juga menunjukkan jurang dalam penyulitan apabila ia datang kepada sandaran awan. Sebagai contoh, sandaran iCloud disulitkan semasa transit dan pada pelayan, tetapi ia tidak disulitkan hujung ke hujung seperti perkhidmatan Apple yang lain. Data itu juga tersedia pada peranti Apple yang dipautkan yang lain, yang sebenarnya merupakan ciri, tetapi juga boleh menimbulkan ancaman jika akses fizikal diperoleh kepada salah satu daripadanya.
“Ia adalah jenis perkara yang sama di mana terdapat kripto hebat yang tersedia, tetapi ia tidak semestinya digunakan sepanjang masa. Dan apabila anda membuat sandaran, anda juga mengembangkan data yang tersedia pada peranti lain. Jadi jika Mac anda juga dirampas dalam carian , yang berpotensi meningkatkan akses penguatkuasaan undang-undang kepada data awan.”
Laporan itu juga menunjukkan bagaimana Android ketinggalan dari segi keselamatan kerana patch tidak selalunya tersedia tepat pada masanya, atau sama sekali, pada banyak telefon pintar kerana perbezaan dalam OEM, pembawa dan sebagainya.
Jurucakap Apple memberikan kenyataan kepada Wired mengenai kelemahan dan menunjukkan bahawa akses fizikal diperlukan kepada peranti sasaran untuk penggodaman ini berfungsi, dan bahawa penggodaman ini berhenti berfungsi sebaik sahaja tampung dikeluarkan oleh syarikat.
“Peranti Apple direka bentuk dengan berbilang lapisan keselamatan untuk melindungi daripada pelbagai potensi ancaman, dan kami sentiasa berusaha menambah perlindungan baharu untuk data pengguna kami,”
Untuk meningkatkan keselamatannya, Apple telah menyediakan program hadiah pepijat, dan baru-baru ini memperkenalkan Program Peranti Penyelidikan Keselamatan baharu.
Semak artikel lengkap di sini, ia patut dibaca.