Apple, UE i zagrożenie ze strony aplikacji sideloadingowych

Telefon wokół którego wyskakują ikony i aplikacje, trzymany przez odróconego tyłem meżczyznę Grafika autorstwa Freepik

W krajobrazie bezpieczeństwa mobilnego nastąpiła ogromna zmiana: wydanie przez Apple systemu iOS 17.04 w marcu 2024 roku umożliwiło użytkownikom instalowanie aplikacji spoza App Store i korzystanie z zewnętrznych sklepów z aplikacjami. Zmiana ta została wprowadzona w celu dostosowania się do unijnego Aktu o Rynkach Cyfrowych (DMA). DMA zostało wprowadzone przez Komisję Europejską w celu ograniczenia dominacji gigantów z Doliny Krzemowej, których DMA nazywa „strażnikami” (gatekeepers), nad rynkami cyfrowymi.

Konkretnie, DMA stwierdza, że strażnicy „powinni umożliwić i technicznie umożliwić instalację i efektywne korzystanie z aplikacji programowych stron trzecich lub sklepów z aplikacjami, które korzystają z ich systemu operacyjnego lub z nim współpracują, oraz umożliwić dostęp do tych aplikacji programowych lub sklepów z aplikacjami innymi niż podstawowe usługi platformy tego strażnika.”

Z jednej strony, daje to użytkownikom Apple pewien poziom elastyczności, który prawdopodobnie zostanie przyjęty z zadowoleniem. Z drugiej strony, wprowadza nowe ryzyka dla tych użytkowników, ich urządzeń oraz organizacji i osób, z którymi są związani.

Renderowany koncept technologi 3D

Apple wielokrotnie wyrażało swoje sprzeciwy wobec tej możliwości w przeszłości. Posunęło się nawet do złożenia pozwu sądowego w europejskich sądach. W 2021 roku Tim Cook, obecny CEO Apple, stwierdził, że taki ruch „zniszczyłby bezpieczeństwo iPhone’a i wiele inicjatyw dotyczących prywatności, które wprowadziliśmy w App Store.” Niezależnie od ich obaw, ta funkcja została uwzględniona w iOS 17.04 w wyniku unijnego Aktu o Rynkach Cyfrowych. Jednak nie oznacza to, że ich argumenty są bezpodstawne.

Omijanie App Store

Bezpieczeństwo aplikacji mobilnych zależy od całego ekosystemu środków bezpieczeństwa, od rozwoju przez produkcję, wydanie do sklepów z aplikacjami, aż po telefony klientów. Sideloading zakłóca kluczowy element tego łańcucha: sklepy z aplikacjami.

Legalne sklepy z aplikacjami, takie jak Google Play Store czy App Store Apple, prowadzą poważny proces przeglądu, aby upewnić się, że aplikacje w ich sklepach są bezpieczne w użyciu. To nie zawsze było doskonałe i zdarzały się przypadki, że złośliwe aplikacje przedostały się do sklepów, ale mimo to zapewniało to ważny znak zaufania dla aplikacji.

Cyfrowy szkic dłoni trzymającej telefon komórkowy
Grafika autorstwa Gray StudioPro na stronie Freepik

Sideloading zapewnia sposób na ominięcie tych środków bezpieczeństwa. Jest to coś, co mogłoby być oferowane przez sklepy z aplikacjami stron trzecich, które oferują użytkownikom nowe funkcjonalności. Jednak robiąc to, użytkownicy urządzeń mobilnych muszą praktycznie złamać zabezpieczenia własnych telefonów, omijając wspomniane wyżej zabezpieczenia. Stamtąd – zapraszają cały szereg zagrożeń.

Po pierwsze, narażają się na zagrożenia związane z malware. Sklepy z aplikacjami stron trzecich są notorycznie wypełnione złośliwymi aplikacjami zawierającymi malware. Bez korzyści wynikających z kontroli bezpieczeństwa i procesów przeglądowych App Store, te aplikacje mogą łatwo trafić na telefony nieświadomych użytkowników.

Zagrożenia nie są tylko złośliwe, ale również całkowicie przypadkowe. Sklepy z aplikacjami zapewniają automatyczne oficjalne aktualizacje, w tym poprawki bezpieczeństwa, aplikacje sideloadingowe nie – co oznacza, że te aplikacje mogą stać się wektorem ataku, jeśli użytkownicy ich nie zastosują. Biorąc pod uwagę fakt, że ludzie często nie aktualizują samodzielnie, powinniśmy uznać to za wysoce prawdopodobne.

Dla firm brak ochrony oznacza powiększoną powierzchnię ataku, którą mogą wykorzystać złośliwe strony. Ponadto, niesprawdzone aplikacje mogą wprowadzać szereg zagrożeń dla prywatności, jeśli żądają nadmiernych uprawnień na urządzeniu mobilnym, co z kolei może ujawnić wrażliwe i osobiste dane. Te aplikacje mogą również nie być zoptymalizowane pod kątem urządzenia, co prowadzi do awarii i problemów z wydajnością.

Siła sklepów z aplikacjami nie polega tylko na ich procesie przeglądu, ale także na możliwości crowdsourcingu kontroli jakości przez recenzje i rankingi. Aplikacje sideloadingowe często pomijają ten kluczowy komponent siły sklepów z aplikacjami.

Telefon przedstawiający na ekranie liczne aplikacje

Omijanie sięga dalej niż tylko sklepy z aplikacjami. W wielu przypadkach instalacja aplikacji sideloadingowej wymaga od użytkownika złamania zabezpieczeń telefonu, zmieniając ustawienia bezpieczeństwa, aby aplikacja mogła uzyskać uprawnienia na telefonie. Obejmuje to zezwolenie na instalacje i modyfikacje z nieznanych – potencjalnie złośliwych źródeł. Jak widać, wszystko to tworzy bardzo ryzykowny obraz dla użytkownika urządzenia mobilnego, nie wspominając o organizacjach i osobach, z którymi są związani.

Celem Aktu o Rynkach Cyfrowych jest poprawa wyboru konsumentów w kwestii urządzeń mobilnych. Dążą do wprowadzenia konkurencji na europejskie rynki cyfrowe, zmuszając gigantów technologicznych do otwarcia swoich platform dla mniejszych konkurentów. W tym sensie, jest to podobne do PSD2 i innych przepisów dotyczących Open Banking, które mają na celu poluzowanie uścisku, jaki duże instytucje miały nad bankowością, umożliwiając tym samym większą konkurencję i innowacje w sektorze. Open Banking dostarczyło nam mnóstwa nowych produktów i usług, a Akt o Rynkach Cyfrowych może spowodować podobny rozkwit innowacji. Ten ruch – wprowadzony wraz z wydaniem 17.04 – prawdopodobnie wprowadzi poważne zagrożenie dla urządzeń Apple, jeśli nie będzie zarządzany poprawnie.

Jednym z najważniejszych aspektów urządzeń mobilnych jest to, że zapewniają one większe połączenie – ale nie tylko z legalnymi i bezpiecznymi podmiotami. Są to często otwarte środowiska i chociaż same urządzenia mogą być bezpieczne, użytkownicy mogą podejmować działania i pobierać oprogramowanie, które zagraża temu bezpieczeństwu. To już jest trudny problem do rozwiązania w firmach, a wprowadzenie ryzyka sklepów z aplikacjami stron trzecich doda nową warstwę złożoności dla personelu ds. bezpieczeństwa. Musimy zastosować takie samo podejście do urządzeń mobilnych, jak do tradycyjnych punktów końcowych, monitorując urządzenia bezpośrednio i ciągle oceniając ryzyka, które się pojawiają.

Artykuł autorstwa Monique Becenti, dyrektor marketingu produktów zabezpieczeń końcowych w Zimperium.

Monique Becenti, dyrektorka ds. marketingu produktów zabezpieczeń końcowych w Zimperium

Artykuł autorstwa Monique Becenti, dyrektorki ds. marketingu produktów zabezpieczeń końcowych w Zimperium

Skomentuj ten artykuł za pośrednictwem X: @IoTNow i odwiedź nasza strone IoT Now Polska

RECENT ARTICLES

Kemet Data Center przyspieszy transformację cyfrową na Bliskim Wschodzie i w Afryce

INTRO Technology, technologiczne ramię INTRO Holding i spółka macierzysta Advansys i Forte Cloud, ogłosiła podpisanie Memorandum of Understanding (MoU) z Oman Data Park w celu utworzenia Kemet Data Center w Strefie Ekonomicznej Kanału Sueskiego. Wartość MoU wynosi 450 milionów dolarów i reprezentuje pierwsze partnerstwo między tymi dwoma firmami, mające na celu dostarczanie rozwiązań chmurowych, Internetu

Read more

Qualcomm i Sequans finalizują sprzedaż technologii 4G IoT

Qualcomm Incorporated, poprzez swoją spółkę zależną Qualcomm Technologies, oraz Sequans Communications ogłosiły, że zakończyły sprzedaż technologii 4G IoT firmy Sequans na rzecz Qualcomm.

Read more
FEATURED IoT STORIES

Znaczenie łączności w IoT

Łączność jest centralnym elementem Internetu Rzeczy (IoT). Jest to siła napędowa i kluczowy element tej zmiany we współczesnej technologii. IoT to nazwa nadana ogromnej sieci fizycznych obiektów, które komunikują się przez internet. Obiekty te mają wbudowane czujniki, oprogramowanie, łączność sieciową i aktuatory, które umożliwiają wymianę informacji między sobą przez internet. Innymi słowy, wyróżniającą cechą IoT

Read more

CAT-M1 vs NB-IoT – badanie rzeczywistych różnic

Ponieważ członkowie branży chcą zapewnić IoT łączność następnej generacji , w wydaniu 13 3GPP pojawiły się dwa różne standardy — CAT-M1 i NB-IoT .

Read more

9 aplikacji IoT, które zmienią wszystko

Niezależnie od tego, czy jesteś prezesem zorientowanym na przyszłość, dyrektorem generalnym zorientowanym na technologię, czy liderem IT, już wcześniej spotkałeś się z terminem IoT. Często jest używany wraz z superlatywami dotyczącymi tego, jak zrewolucjonizuje sposób, w jaki pracujesz, bawisz się i żyjesz. Ale czy to tylko kolejne modne hasło, czy też jest to obiecany technologiczny święty Graal? Prawda

Read more

IoT i automatyka domowa: co przyniesie przyszłość?

Kiedyś marzenie, automatyka domowa wykorzystująca iot, powoli staje się częścią codziennego życia na całym świecie. W rzeczywistości uważa się, że globalny rynek inteligentnej automatyki domowej do 2020 roku osiągnie 40 miliardów dolarów.

Read more

5 wyzwań stojących przed Internetem Rzeczy

Internet rzeczy ( IoT) szybko stał się ogromną częścią tego, jak ludzie żyją, komunikują się i prowadzą interesy. Na całym świecie urządzenia z dostępem do Internetu zmieniają nasz świat w bardziej aktywne miejsce do życia.

Read more