Digi
01.06.2020, 13:54

Ära kasuta sama kontot mitmesse kohta sisselogimiseks. Näide Apple'i põhjal

 
Lauri Jürisoo
forte.ee toimetaja
Illustreerival eesmärgil Apple'i nutiseade (foto: SIPA / Scanpix)
Illustreerival eesmärgil Apple'i nutiseade (foto: SIPA / Scanpix)
Pigem ära kasuta oma kasutajakontot teise keskkonda või äppi sisenemiseks. Miks? Loe edasi.

Mitmed tehnoloogiafirmad pakuvad meeleldi võimalust nende teenuste jaoks loodud kasutajaprofiiliga ka teistesse keskkondadesse sisse logida (näiteks Facebook, Google ja Apple).

See väike lisamugavus ei eksisteeri siiski kellegi südameheadusest, vaid annab firmadele võimaluse sinu veebikäitumist veelgi ulatuslikumalt ja täpsemalt jälgida, et andmeid kasutada ja edasi müüa.

Kasutaja jaoks suurendab see ka teoreetiliselt ohtu, et konto loomiseks esitatud isikuandmed (alates e-postiaadressist) pihta pannakse ja neid ära kasutatakse, või siis lihtsalt laiemalt kättesaadavaks muutuvad.

Seni on levinud arusaam, et Apple'i kasutajana võõrasse keskkonda sisenemine on turvalisem kui konkureerivate lahenduste puhul – aga see eeldus lükati hiljuti ümber.

India päritolu küberturva-asjatundja Bhavuk Jain teenis eetilise häkkerina 100 000 USA dollarilise (90 000 eurose) preemia, kui avastas Apple'i kasutajana võõrastesse veebikohtadesse sisenemise protsessis tõsise turvavea ja teatas sellest Apple'ile, et sealsed spetsid saaksid vea parandada.

Loe Forte ülevaadet eetilistest häkkeritest ja kuidas need erinevad kuritegelikest häkkeritest

Jain leidis, et kui keskkonnas või äpis polnud turvameetmeid teatud viisil paika pandud, saaks võõra konto üle võtta, võltsides kasutajakontoga seotud turvamärki (ingl token) ja kinnitades selle valiidsust Apple'i profiili avaliku võtme abil. See oli võimalik ka juhul, kui kasutaja oli oma e-postiaadressi ära peitnud. Võimalik oli ka ülevõetud konto abil uut luua.

Kui sellist nuppu näed, siis pigem ära puutu (ekraanitõmmis)

Jain leidis vea aprillis ja Apple kiirustas seda parandama, nii et nüüdseks saab sellest juba kirjutada. Mis on kiiduväärne, sest pahatihti kulub firmadel parandusteks rohkem kuid või isegi aastaid.

Apple teatas ka, et uuris asja, aga neile teadaolevalt pole kellegi kontot siinkirjeldatud viisil omastatud.

Apple'i kasutajana sisselogimine jõudis maailma ette möödunud juunis WWDC 2019 konverentsil. Selle peamine eelis teiste ees ongi võimalus oma e-postiaadress ära peita.

Apple hakkab peagi nõudma kõigilt registreerimisvõimalusega äppidelt, et need pakuks kasutajatele ka Apple'i vahendusel registreerimist.

Kommenteeri Loe kommentaare
Delfi
Jaga
Kommentaarid