Apple planea con iOS 14.5 permitir que los empleados corporativos enmascarados accedan a sus iPhones si también usan un Apple Watch (con WatchOS 7.4), que está desbloqueado. Advertencia: este es un compromiso práctico para la seguridad de Apple, y si no insiste en que los trabajadores se abstengan de usar esta función, la seguridad empresarial se verá afectada.
En resumen, será mucho más fácil para los espías corporativos y los ciberdelincuentes adquirir la propiedad intelectual de su negocio, que se crea, almacena y envía en los teléfonos inteligentes hoy en día a una tasa mucho más alta que en 2019, también conocida como antes del COVID-19.
Apple se negó a permitir que esta conveniencia hiciera algo más que abrir el teléfono (lo cual es bastante malo). Y eso no permitirá que la función omita la autenticación de Face ID para AppleCard, ApplePay o cualquier aplicación de terceros (como bancos y firmas de inversión) que hayan adoptado Face ID. Esto le dice prácticamente todo lo que necesita saber sobre cómo ser un cortador de cuñas cuando se trata de seguridad.
Echemos un vistazo a lo que ha hecho Apple y demos crédito a lo que se debe. Como medida de seguridad, es horrible, y debería ser la principal preocupación de la TI corporativa, ya que pone en riesgo los datos corporativos ultrasensibles. Dicho esto, es una dosis de conveniencia bastante impresionante.
En primer lugar, esto se basa absolutamente en una pandemia, ya que el proceso de desbloqueo comienza con la búsqueda de la existencia de una persona que lleva una máscara. Una vez que determina esto, permite que el teléfono se desbloquee si hay un Apple Watch desbloqueado cerca. Todo lo que hace es reemplazar una entrada de PIN en el teléfono con una entrada de PIN anterior en el reloj. Y puede resultar útil.
¿Qué tan útil y cuánto más práctico? Es una mejor idea, pero no estoy seguro de que sea mucho más que un truco. La mayoría de los usuarios de iPhone todavía necesitan ingresar su PIN de iPhone varias veces al día. Para la mayoría de nosotros ahora es la memoria muscular y apenas toma un segundo. Si eso solo ahorra uno o dos segundos de tiempo, no estoy convencido de que valga la pena.
Como se señaló anteriormente, el papel del Apple Watch, que juega con el concepto de Unix de un host confiable, ya que dice: "Si alguna vez te has autenticado en el Watch, confiaré en ti", no funciona con cualquiera (por ejemplo, Apple Pay) y ciertamente no con una aplicación de terceros que utilice el reconocimiento facial de Apple para la autenticación. Estamos hablando de un pony de un solo viaje, algo que solo puede abrir el iPhone y solo si detecta una máscara. Esto podría ser más útil en el invierno cuando usa guantes y una máscara de esquí sobre una máscara Covid, donde el acceso de los dedos es un problema.
Cuando se trata de seguridad, esta táctica de conveniencia les hará la vida mucho más fácil a los malos. Supongamos que alguien roba el teléfono y el reloj de uno de los empleados, tal vez cuando se quedan dormidos en el metro o en el tren. O tal vez fue solo un ataque con puñaladas.
A pesar de las publicitadas protecciones de seguridad de Apple, no es tan difícil ingresar. Primero, Apple hizo un buen movimiento parcial al permitir y luego alentar códigos PIN más largos. El gran riesgo con un código PIN, más allá de su estimación, es navegar por el hombro. Cuanto más largo sea el código PIN, más difícil será navegar por el hombro. Pero el reloj aún tiene que pasar el código PIN de 4 dígitos, que es fácil de ver por encima del hombro. Esto significa que toda la seguridad de Apple se puede borrar con un código PIN de 4 dígitos. Фигово.
El ladrón solo necesita ponerse una máscara (fácil) y usar el código pin de 4 dígitos en el reloj y se ingresan.
¿Qué pueden conseguir? Un poco: todos los correos electrónicos, todos los mensajes de texto, todo en una aplicación de Notas, todas las fotos, todos los mensajes de voz, todos los números entrantes y salientes recientes, historial de geolocalización, una lista de todos los lugares en los que ha estado recientemente (y no tan recientemente) etc. Es posible que no puedan comprar nada o transferir dinero, pero para un espía corporativo esto sigue siendo un gran tesoro de datos confidenciales.
La razón por la que el ladrón tiene que robar tanto el teléfono como el reloj es que Apple ha puesto un poco de protección en caso de que alguien robe el teléfono e intente abrirlo cuando estás cerca, tal vez en un café (siempre que la gente regrese a sentarse en cafés). Cuando el iPhone se desbloquea, el usuario recibe una notificación mediante una vibración del reloj que indica que el teléfono se ha desbloqueado. Luego ofrece brevemente la opción de cancelar el proceso y bloquear el dispositivo móvil. (Esto supone que el usuario puede mirar instantáneamente su teléfono y responder).
Básicamente, eso significa que es necesario escanear ambos dispositivos inteligentes. Si bien eso requiere un nivel de subterfugio y sigilo que no será fácil de lograr, ¿y las empresas realmente quieren arriesgarse? Si su empresa es el objetivo de un ciberdelincuente o un espía corporativo y los datos que están buscando valen millones, esta podría ser una forma relativamente fácil de dañar su empresa.
Nota al margen: 9to5mac afirma que Apple permite mucho más acceso cuando el Apple Watch habla con una Mac, en comparación con el reloj que habla con un iPhone. “En Mac, el Apple Watch se puede usar para una variedad de tareas de autenticación diferentes, incluido el acceso a controles en Preferencias del sistema, compras de Apple Pay y más”, dice la historia.
Por razones de seguridad, podemos estar felices de que Apple proteja el iPhone mejor que la Mac.
<p>Copyright © 2021 IDG Communications, Inc.</p>