Главная » Блоги Экспертов И ИТ-Компаний » Как Apple защищает iOS. Часть 4
Статус не указан

Как Apple защищает iOS. Часть 4

Как Apple защищает iOS. Часть 4

 

Часть 4. Защита данных о здоровье пользователя — апплет Healthkit. 

В завершении серии статей о безопасности Apple iOS эксперты группы компаний Angara рассмотрели реализацию защиты данных о здоровье пользователя — апплет Healthkit. 

Данные хранятся в разделе Data Protection class Protected Unless Open и class Protected Until First User Authentication, то есть доступ к ним открывается при авторизации пользователя и закрывается через 10 минут до повторной явной авторизации (passcode, Touch ID, Face ID). Временные файлы вне зоны доступа основного устройства сохраняющиеся, а при подключении и успешной синхронизации сразу удаляются. Например, на часах Apple Watch данные будут храниться до подключения к iPhone. 

В облаке iCloud данные пакета HealthKit хранятся только в зашифрованном виде. Целостность данных в базе HealthKit контролируется цифровой подписью и алгоритмом Cryptographic Message Syntax (CMS, IETF RFC 5652). 

Доступ к данным о здоровье для приложений регулируется пользователем аналогично остальным типам данных, и может быть дан на чтение, запись или отозван в разделе Sources приложения. Если приложение не имеет доступа на чтение данных, ему будет возвращен код «нет записей» — приложение не может определить, какие именно данные пользователь отслеживает, имеет ли к ним доступ или в действительности данных нет. 

Согласно политике Apple, данные о здоровье не могут быть использованы для рекламных целей.

Заключение

Несмотря на строгую политику безопасности, благодаря изобретательности хакеров, мобильные устройства остаются уязвимы. Например, буквально на днях хакер axi0mX опубликовал Jailbreak для всех версий iOS, эксплуатирующий уязвимость в Apple Bootrom (SecureROM). Это read-only раздел, поэтому невозможно его исправление в выпущенных версиях устройств. 

Jailbreak работает только при физическом доступе к устройству. Защитная стратегия для пользователя - контроль доступа, пока компания Apple не выпустит виртуальный патч. 

В целях безопасности не стоит устанавливать неизвестные приложения — так вы снизите риски заражения устройства. 

Политика безопасности охватывает все аспекты функционирования гаджета, поэтому мы не ставим целью полностью описать ее. При возникновении интереса к реализации конкретных функций безопасности, стоит ознакомиться с полным текстом руководства.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
angaratech.ru, Менеджер
8 (495) 269-26-06
Информационные технологии

Группа компаний ANGARA, представленная головной организацией Angara Technologies Group и сервис-провайдером Angara Professional Assistance, предоставляет полный спектр услуг по информационной безопасности, начиная с поставки и внедрения оборудования и ПО, заканчивая комплексом мероприятий по сопровождению ИТ- и ИБ-систем клиентов.

⭐ ТОП-10 самых быстрорастущих ИТ-компаний России (7 место, CNews); ⭐ ТОП-20 крупнейших компаний информационной безопасности (13 место, TAdviser); ⭐ ТОП-20 крупнейших поставщиков для банков (19 место, TAdviser); ⭐ ТОП-100 крупнейших ИТ-компаний России по версии CNews  и TAdviser.

Angara Technologies Group была основана в 2015 году группой из 10 единомышленников. Сегодня компания имеет развитую партнерскую сеть из более чем 100 российских и зарубежных производителей в области информационной безопасности, включая Гарда Технологии, Код Безопасности, Kaspersky, R-Vision, Krontech, Palo Alto, Positive Technologies, Trend Micro и других.

В штате Angara Technologies Group более 140 сотрудников высокого уровня квалификации. На счету компании более 70-ти реализованных проектов.

Angara Professional Assistance — это высокотехнологичный сервис-провайдер, предоставляющий сервисы по модели Security as a service, по аутсорсингу информационной безопасности, услуги по сопровождению и поддержке работоспособности ИТ- и ИБ-систем клиентов, повышению эффективности их работы и обеспечению непрерывности выполняемых функций.

Нам доверяют крупнейшие компании из банковской и промышленной  сфер, телеком-компании и государственные структуры.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>