33stránkový whitepaper nazvaný iOS Security byl vydán v únoru 2014 a je nyní k dispozici online (ve formátu PDF). Předchozí verze je datována do listopadu 2012, přibližně do doby, kdy firma Apple začala bezpečnosti věnovat zvýšenou pozornost. Nový dokument detailně popisuje nové bezpečnostní funkce, které byly uvedeny do systémů iOS, především verze 7: Snímač otisků prstů Touch ID, integrace jednotného přihlášení do korporátních aplikací a služeb, zabezpečení spojení konektivity Airdrop (ať už Wi-Fi nebo Bluetooth), iCloud Keychain pro generování a správu silných hesel a v neposlední řadě Secure Enclave, bezpečnostní koprocesor integrovaný do 64bitového procesoru Apple A7.
Whitepaper je podle bezpečnostních konzultantů zásadní změnou v přístupu Applu a jak říká Rich Mogull: „Obsahuje více informací o bezpečnosti iOS, než kdy Apple oficiálně uvolnil. Studiem tohoto dokumentu strávíme měsíce.“ Z tohoto pohledu se Apple donedávna choval jako Microsoft před deseti lety, kdy bylo zvykem uveřejňovat co nejméně informací o bezpečnostních standardech.
Detaily bezpečnostní architektury Apple, včetně její certifikace podle normy FIPS 140-2, nepochybně dále pomohou otevírat dveře do vládních agentur nebo korporací s extrémními bezpečnostními požadavky. „Řada profesionálů dosud nepovažovala produkty Apple za dostatečně zralé pro korporátní či státní bezpečnost, ale Apple se možná pomalu stává standardem v mobilní bezpečnosti. Již nyní jsou možná zařízení Apple zabezpečenější než jakékoli jiné běžně dostupné zařízení.“
To ale neznamená, že neexistuje spousta prostoru pro zlepšení, jak to ukázala poslední bezpečnostní konference RSA, kde bylo předvedeno několik způsobů, jak se mohou aplikace běžící na pozadí nerootovaného iPhonu dostat například ke všem dotekům na obrazovce a fungovat tedy jako typický keylogger. To představuje chybu spíše systémové architektury než autorů jednotlivých aplikací, i když na ty vina za bezpečnostní nedostatky nejčastěji padá. Na analýzu bezpečnostních slabin aplikací dostupných pro iOS se zaměřil výzkum firmy HP publikovaný v listopadu 2013. Testováno bylo více než 2000 mobilních aplikací používaných 600 velkými korporacemi v 50 zemích světa a jak se ukázalo, 90 procent z nich vykazovalo nějakou bezpečnostní slabinu či chování, od nepoužívání šifrování po data ukládaná v zařízení nebo dokonce přenášená po internetu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU