Tin tức

Nguy cơ lộ thông tin riêng tư của nhân viên do lỗ hổng Mirroring trên iPhone của Apple

Posted on by admin
09
Oct

Lỗ hổng về quyền riêng tư trong tính năng iPhone mirroring mới của Apple, được giới thiệu với macOS 15.0 Sequoia và iOS 18, đã được xác định.

Lỗi này, được phát hiện bởi các chuyên gia an ninh mạng tại Sevco, cho phép các ứng dụng cá nhân trên iPhone được liệt kê trong danh sách phần mềm của công ty khi tính năng này được sử dụng trên các máy tính làm việc, tạo ra một vấn đề đáng lo ngại về quyền riêng tư cho nhân viên.

Vấn đề này bắt nguồn từ cách iPhone mirroring tích hợp dữ liệu siêu dữ liệu ứng dụng iOS vào môi trường macOS, cho phép bộ phận công nghệ thông tin của doanh nghiệp truy cập vào siêu dữ liệu về các ứng dụng cá nhân, mặc dù không có dữ liệu ứng dụng thực sự được chuyển.

Lỗ hổng này có thể tiết lộ các khía cạnh nhạy cảm của cuộc sống cá nhân của người dùng, bao gồm việc sử dụng VPN, ứng dụng hẹn hò hoặc dịch vụ liên quan đến sức khỏe, có thể đưa họ vào rủi ro hợp pháp hoặc xã hội, tùy thuộc vào địa điểm cư trú của họ.

Đối với các nhà tuyển dụng, vấn đề này mang lại rủi ro pháp lý mới, bao gồm vi phạm luật quyền riêng tư như Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA). Các công ty có thể vô tình thu thập dữ liệu riêng tư và đối diện với hậu quả pháp lý nếu dữ liệu này không được quản lý đúng cách.

Sevco đã báo cáo vấn đề này cho Apple, nhận thức được vấn đề và đang tích cực làm việc để khắc phục. Trong khi đó, Sevco khuyến nghị các công ty tắt iPhone mirroring trên thiết bị làm việc và hướng dẫn nhân viên tránh sử dụng tính năng này trong môi trường chuyên nghiệp.

#Apple #iPhoneMirroringFlaw #EmployeePrivacy #Sevco #SecurityRisk

Để biết thêm chi tiết về các rủi ro về quyền riêng tư trong cài đặt doanh nghiệp, click vào link ở trên.

Nguồn: https://www.infosecurity-magazine.com/news/apples-iphone-mirroring-flaw/

A privacy flaw in Apple’s new iPhone mirroring feature, introduced with macOS 15.0 Sequoia and iOS 18, has been identified.

This bug, discovered by cybersecurity experts at Sevco, enables personal apps on an iPhone to be listed in a company’s software inventory when the feature is used on work computers, creating a significant privacy concern for employees.

The issue stems from how iPhone mirroring integrates iOS app metadata into the macOS environment, allowing corporate IT departments to access metadata about personal applications, although no actual app data is transferred.

This flaw could expose sensitive aspects of a user’s personal life, including their use of VPNs, dating apps or health-related services, potentially putting them at legal or social risk, depending on their location.

For employers, this issue presents new liability risks, including possible violations of privacy laws such as the California Consumer Privacy Act (CCPA). Companies could inadvertently collect private data and face legal consequences if this data is not managed correctly.

Sevco reported the issue to Apple, which acknowledged the problem and is actively working on a fix. In the meantime, Sevco advises companies to disable iPhone mirroring on work devices and instruct employees to avoid using this feature in professional settings.

Implications for Businesses and Employees

The vulnerability, which affects employees who use iPhone mirroring on work computers, could lead to:

  • Legal liability for companies under privacy laws like CCPA

  • Accidental exposure of sensitive employee information

  • Potential breaches of employee trust and privacy

According to Jason Soroko, a senior fellow at Sectigo, the issue lies in how iPhone mirroring fails to separate personal app metadata from corporate software inventories.

“While app data isn’t shared, the mere presence of certain apps like health or dating services can reveal sensitive personal information.  What is being shared is the metadata about the presence of applications on the mirrored iPhone,” Soroko said.

John Bambenek, president of Bambenek Consulting, echoed Soroko’s point, further highlighting that the Apple ecosystem design, which encourages data syncing across devices, exacerbates the issue when personal accounts are linked to business hardware.

“The problem is when personal accounts are on business hardware, which is very tempting just for the Keychain to be synced,” Bambenek warned.

He recommended that privacy-conscious users keep personal apps off work devices or use virtual machines to maintain separation.

Read more on privacy risks in corporate settings: Enterprise Browser Touted as Solution to GenAI Privacy Risks

Immediate Steps for Companies

To mitigate risks, Sevco suggests the following actions:

  • Disable iPhone mirroring on work computers

  • Instruct employees to avoid using the feature on company devices

  • Review enterprise IT systems to prevent accidental collection of personal data

Apple is expected to release a patch soon to address this vulnerability. Once the fix is available, companies should ensure it is implemented immediately and delete any mistakenly collected data to eliminate potential legal exposure.

Image credit: DenPhotos / Shutterstock.com


[ad_2]

admin

Leave a Reply

Your email address will not be published. Required fields are marked *