Technews Uncategorized

Apple sedang mempelajari mengapa keamanan pintasan adalah ide yang buruk

Dengan program sertifikat pengembang perusahaannya, Apple memilih kenyamanan daripada keamanan. Anda bisa menebak apa yang terjadi.

Ketika Apple meluncurkan program sertifikat pengembang perusahaannya – yang membantu perusahaan membuat aplikasi buatan sendiri mereka untuk hanya digunakan karyawan melalui iTunes – Apple harus membuat keputusan sulit-vs-keamanan yang sulit: berapa banyak kerumitan untuk menempatkan manajer TI untuk mendapatkan mereka aplikasi internal diposkan. Itu memilih kenyamanan dan, yah, Anda bisa menebak apa yang terjadi.

Laporan-laporan media mengatakan para pengembang bajak laut menggunakan program perusahaan untuk mendistribusikan secara tidak tepat versi-versi aplikasi populer – termasuk Spotify, Angry Birds, Pokemon Go dan Minecraft – sementara yang lain menggunakan platform untuk mendistribusikan aplikasi-aplikasi porno bersama dengan aplikasi-aplikasi perjudian uang sungguhan. Dan yang harus dilakukan orang jahat hanyalah berbohong kepada perwakilan Apple tentang dikaitkan dengan bisnis yang sah. Apple tidak repot-repot menyelidiki atau memverifikasi jawaban.

Apple sekarang memiliki dua cara untuk pergi: usus atau sangat membatasi program sertifikat perusahaannya atau menuangkan sumber daya yang cukup untuk memverifikasi semua jawaban sebelum memberikan akses secara efektif. Setiap pengamat Apple lama tahu rute mana yang lebih mungkin. Petunjuk: Program perusahaan bertujuan untuk memudahkan perusahaan untuk memanfaatkan perangkat iOS, tetapi tidak memberikan satu ton pendapatan langsung. Menetapkan talenta untuk memperbaikinya saat Apple sedang berjuang untuk membuat tujuan penjualan iPhone tampaknya tidak mungkin.

Mari kita teliti apa yang terjadi. Pertama, milik Reuters, datang laporan dari perompak perangkat lunak. “Operasi bajak laut ini menyediakan versi modifikasi dari aplikasi populer kepada konsumen, memungkinkan mereka untuk mengalirkan musik tanpa iklan dan untuk menghindari biaya dan aturan dalam permainan, menghilangkan Apple dan pembuat aplikasi pendapatan yang sah,” kata cerita Reuters. “Apple mengkonfirmasi laporan media pada hari Rabu bahwa mereka akan memerlukan otentikasi dua faktor – menggunakan kode yang dikirim ke telepon serta kata sandi – untuk masuk ke semua akun pengembang pada akhir bulan ini, yang dapat membantu mencegah penyalahgunaan sertifikat. “

Dua pemikiran cepat tentang pendekatan 2FA Apple, dengan asumsi referensi ini benar. Pertama, mengirim kode adalah mengemis untuk serangan orang-di-tengah, dan bajak laut ini mampu melakukan langkah seperti itu. Ada opsi 2FA yang jauh lebih aman. Kedua, semua ini akan dilakukan adalah memverifikasi bahwa orang yang membuat akun adalah orang yang sekarang sedang mencoba untuk mendapatkan akses. Itu tidak membahas masalah sebenarnya di sini, yaitu bahwa mereka pada awalnya adalah aplikasi penipuan.

Kisah aplikasi judi porno dan uang asli datang dari TechCrunch, dan memberikan jauh lebih spesifik tentang betapa mudahnya penipuan ini dilakukan, mengingat pendekatan Apple yang sangat nyaman.

“Pengembang hanya perlu mengisi formulir online dan membayar $ 299 ke Apple, sebagaimana dirinci dalam panduan ini dari Calvium. Formulir hanya meminta pengembang untuk berjanji mereka sedang membangun aplikasi Enterprise Certificate untuk penggunaan internal karyawan saja, bahwa mereka memiliki otoritas hukum untuk mendaftarkan bisnis, memberikan nomor ID bisnis DUNS dan memiliki Mac terbaru, “TechCrunch melaporkan. “Anda dapat dengan mudah Google merinci alamat bisnis dan mencari nomor DUNS ID mereka dengan alat yang disediakan Apple. Setelah menyiapkan ID Apple dan menyetujui persyaratan layanannya, perusahaan menunggu satu hingga empat minggu untuk panggilan telepon dari Apple yang meminta mereka untuk mengkonfirmasi ulang bahwa mereka hanya akan mendistribusikan aplikasi secara internal dan diizinkan untuk mewakili bisnis mereka. Dengan hanya beberapa kebohongan di telepon dan web ditambah beberapa informasi publik yang dapat Google, pengembang yang samar dapat memperoleh persetujuan untuk Apple Enterprise Certificate. “

Apple telah berhasil membuat proses ini nyaman dari sudut pandang keamanan (yang merupakan hal yang buruk), tetapi tidak nyaman dan sulit dari sudut pandang TI. Dengan lebih tegas, perusahaan itu membuat para penjahat relatif mudah sambil memaksa pekerja TI yang sah untuk melewati banyak rintangan. Steve Jobs sedang melakukan sesuatu yang serius di kuburnya.

Mengingat Apple sudah memiliki perwakilan call center yang menelepon untuk mengkonfirmasi ulang, mengapa tidak menghubungi perusahaan yang nomor D-U-N-S digunakan untuk memverifikasi bahwa itu benar-benar membuat permintaan? Apple dapat meminta penghubung dan kemudian memastikan bahwa semuanya sah. Jika penghubung tidak diketahui, itu alasan yang baik untuk menunda atau bahkan langsung menolak persetujuan. Idealnya, tunda dan beri kesempatan pada pemohon untuk menjelaskan. Lagipula, kemungkinan orang yang menjawab papan tombol perusahaan mungkin hanya sementara dan tidak dapat menemukan karyawan itu tidak mungkin.

Yang mengatakan, upaya verifikasi ini akan secara signifikan menambah tenaga kerja yang Apple perlu keluarkan untuk otentikasi, dan tidak jelas apakah ini masuk akal secara fiskal untuk perusahaan.

Tapi, Apple, jika Anda ingin menegakkan aturan-aturan ini, maka benar-benar menegakkannya. Membuat orang mengisi banyak formulir online dan kemudian menunggu sebulan untuk panggilan telepon tidak masuk akal jika tidak ada yang mau repot-repot memverifikasi jawabannya.

Leave a Reply

Your email address will not be published. Required fields are marked *