10月10日消息,据外电报道,苹果在 macOS 15.0 Sequoia 和 iOS 18 中引入的新 iPhone 镜像功能被发现存在隐私漏洞。
这个漏洞是由 Sevco 的网络安全专家发现的,当在办公电脑上使用该功能时,iPhone 上的个人应用程序会被列在公司的软件清单中,这给员工带来了严重的隐私问题。
问题源于 iPhone 镜像如何将 iOS 应用程序元数据集成到 macOS 环境中,从而允许企业 IT 部门访问有关个人应用程序的元数据,尽管没有传输实际的应用程序数据。
该漏洞可能会暴露用户个人生活的敏感方面,包括他们对 VPN、约会应用程序或健康相关服务的使用,并可能使他们面临法律或社会风险,具体取决于他们所在的位置。
对于雇主而言,这个问题带来了新的责任风险,包括可能违反《加州消费者隐私法案》(CCPA)等隐私法。如果数据管理不当,公司可能会无意中收集私人数据并面临法律后果。
Sevco 向 Apple 报告了这个问题,Apple 承认了这个问题并正在积极修复。与此同时,Sevco 建议公司在工作设备上禁用 iPhone 镜像功能,并指导员工避免在专业环境中使用此功能。
对企业和员工的影响
该漏洞会影响在办公电脑上使用 iPhone 镜像的员工,可能导致:
CCPA 等隐私法规定的公司法律责任
员工敏感信息意外泄露
可能侵犯员工信任和隐私
Sectigo 高级研究员 Jason Soroko 表示,问题在于 iPhone 镜像未能将个人应用程序元数据与企业软件库存分开。
「虽然应用程序数据不会被共享,但某些应用程序(如健康或约会服务)的存在本身就可能泄露敏感的个人信息。被共享的是镜像 iPhone 上应用程序存在的元数据。」索罗科说。
Bambenek Consulting 总裁 John Bambenek 赞同 Soroko 的观点,并进一步强调,苹果生态系统的设计鼓励跨设备同步数据,但当个人账户与商业硬件挂钩时,这个问题就会变得更加严重。
Bambenek 警告说:问题在于,当个人账户位于商业硬件上时,仅仅为了同步 Keychain 就很诱人。
他建议注重隐私的用户不要将个人应用程序放在工作设备上,或者使用虚拟机来保持隔离。