| 8 октября 2024 г. — 7:18 PT
Одной из новых функций iOS 18 и macOS Sequoia является iPhone Mirroring — но использование этой функции с личным iPhone на рабочем Mac в настоящее время создает риск для конфиденциальности сотрудников и юридический риск для бизнеса.
Проблема, как обнаружила компания в области кибербезопасности Sevco, заключается в том, что приложения на iPhone рассматриваются как приложения Mac, а это означает, что их присутствие включается в корпоративные IT-аудиты…
Как iPhone Mirroring обрабатывает приложения
Sevco обнаружила, что при использовании iPhone Mirroring любое запускаемое вами приложение iPhone создает запись в библиотеке Mac здесь:
/Users/
То есть Mac считает их приложениями Mac.
Это означает, что когда компании проводят автоматизированные сетевые аудиты для проверки того, все ли приложения на их Mac должным образом авторизованы и лицензированы, iPhone-приложения будут идентифицированы.
Риски для конфиденциальности и законности
Для пользователей iPhone это создает потенциальный риск для конфиденциальности, поскольку ваш работодатель сможет видеть ваши iPhone-приложения. Чтобы быть предельно ясным, они *не могут* видеть данные в них, но Sevco утверждает, что даже знание того, какие приложения вы используете, может иметь серьезные последствия.
Для пользователей iPhone эта ошибка Apple представляет серьезный риск для конфиденциальности, поскольку она может раскрыть аспекты их личной жизни, которыми они не хотят делиться или которые могут поставить их под угрозу. Это может включать раскрытие VPN-приложения в стране, которая ограничивает доступ к Интернету, приложения для знакомств, которое раскрывает их сексуальную ориентацию в юрисдикции с ограниченной защитой или юридическими последствиями, или приложения, связанные с состоянием здоровья, которым сотрудник просто не хочет делиться. Последствия такого раскрытия данных могут быть серьезными.
Это также создает потенциальное юридическое минное поле для бизнеса.
Для компаний эта ошибка представляет собой новую ответственность за данные, связанную с потенциальным сбором личных данных сотрудников. Если эта ошибка не будет устранена, это может привести к нарушению основных законов о конфиденциальности, таких как CCPA, к судебным искам и правоприменительным действиям федеральных агентств.
В Европе это почти наверняка противоречило бы требованиям GDPR по конфиденциальности.
Apple работает над исправлением; раскрытие информации не могло ждать
Это не намеренное поведение, и Apple работает над исправлением.
Обычно компания, занимающаяся вопросами безопасности, ждала бы отправки исправления, прежде чем раскрывать детали, но Sevco заявила, что в этот раз не могла этого сделать.
Хотя обычные сроки ответственного раскрытия информации обычно составляют не менее 30 дней, мы решили обнародовать эту информацию сейчас, поскольку с каждым днем растет число пострадавших людей и компаний. Самый большой риск в этой ситуации представляют собой люди, находящиеся в потенциально компрометирующей ситуации, и их лучшей защитой является их собственная осведомленность. Мы ценим оперативность и срочность реагирования Apple на решение проблемы.
Изображение: коллаж 9to5Mac из изображений Apple и J Lee на Unsplash