Sigurnost Apple platforme Proljeće 2020. Sadržaj Uvod u sigurnost Apple platforme 5 Obveza za sigurnost 6 Sigurnost hardvera i biometrija 8 Pregled sigurnosti hardvera 8 Secure Enclave 9 Dedicirani AES modul 10 Touch ID i Face ID 12 Hardversko isključivanje mikrofona u Macu i iPadu 17 Express Card kartice sa štednjom energije u iPhoneu 17 Sigurnost sustava 18 Pregled sigurnosti sustava 18 Generiranje nasumičnih brojeva 18 Sigurno podizanje sustava 19 Sigurnosna ažuriranja softvera 28 Integritet sustava OS u sustavu iOS i iPadOS 29 Integritet sustava OS u sustavu macOS 31 Sigurnost sustava watchOS 37 Enkripcija i zaštita podataka 40 Pregled enkripcije i zaštite podataka 40 Kako Apple štiti osobne podatke korisnika 40 Uloga Apple sustava datoteka 41 Zaštita podataka u sustavu iOS i iPadOS 42 Enkripcija u sustavu macOS 48 Šifre i lozinke 54 Autentikacija i digitalno potpisivanje 56 Zbirke ključeva 58 Sigurnost Apple platforme 2 Sigurnost aplikacija 61 Pregled sigurnosti aplikacija 61 Sigurnost aplikacija u sustavu iOS i iPadOS 62 Sigurnost aplikacija u sustavu macOS 67 Sigurnosne značajke u aplikaciji Bilješke 70 Sigurnosne značajke u aplikaciji Prečaci 71 Sigurnost usluga 72 Pregled sigurnosti usluga 72 Apple ID i Upravljani Apple ID 72 iCloud 74 Upravljanje šiframa i lozinkama 78 Apple Pay 85 iMessage 97 Dopisivanje s poduzećem 100 FaceTime 101 Pronalaženje 101 Kontinuitet 105 Sigurnost mreže 109 Pregled sigurnosti mreže 109 Sigurnost TLS mreže 109 Virtualne privatne mreže (VPN-ovi) 110 Sigurnost Wi-Fi mreže 111 Sigurnost Bluetootha 114 Ultra Wideband tehnologija 116 Jednostruka prijava 116 Sigurnost značajke AirDrop 117 Dijeljenje lozinke za Wi-Fi 118 Vatrozid u sustavu macOS 118 Kompleti alata za developere (“Developer Kits”) 119 Pregled kompleta alata za developere 119 HomeKit 119 HealthKit 125 CloudKit 127 SiriKit 127 DriverKit 128 ReplayKit 128 Camera i ARKit 130 Sigurnost Apple platforme 3 Sigurno upravljanje uređajima 131 Pregled sigurnog upravljanja uređajima 131 Model uparivanja 131 Upravljanje postavkama šifre i lozinke 132 Provođenje konfiguracije 133 Upravljanje mobilnim uređajem (MDM) 134 Automatizirana prijava uređaja 135 Apple Configurator 2 136 Nadzor uređaja 136 Ograničenja uređaja 137 Zaključavanje aktivacije 137 Mod izgubljenog uređaja, udaljeno brisanje i udaljeno zaključavanje 139 Dijeljeni iPad 140 Vrijeme uporabe zaslona 141 Sigurnost Appleovih proizvoda i certifikati o privatnosti 144 Pregled sigurnosti Appleovih proizvoda i certifikata o privatnosti 144 Appleovo sigurnosno jamstvo 145 Pojmovnik 148 Prethodne revizije dokumenta 153 Sigurnost Apple platforme 4 Uvod u sigurnost Apple platforme Apple dizajnira sigurnost u jezgru svojih platformi. Gradeći na iskustvu izrade najnaprednijeg svjetskog mobilnog operativnog sustava, Apple je izradio arhitekture sigurnosti koje rješavaju jedinstvene zahtjeve mobilnih uređaja, satova, stolnih računala i doma. Svaki Apple uređaj kombinira hardver, softver i usluge dizajnirane da rade zajedno za maksimalnu sigurnost i transparentan doživljaj korisnika radi postizanja krajnjeg cilja održavanja osobnih informacija sigurnima. Prilagođeni sigurnosni hardver pokreće ključne sigurnosne značajke. Zaštite softvera rade na čuvanju sigurnosti operativnog sustava i aplikacija drugih proizvođača. Usluge pružaju mehanizam za sigurna i pravovremena ažuriranja softvera, pokreću sigurniji ekosustav aplikacija, sigurne komunikacije i plaćanja i pružaju sigurnije iskustvo na internetu. Apple uređaji štite ne samo uređaj i njegove podatke, nego i čitavi ekosustav, uključujući sve što korisnici rade lokalno, na mrežama i s ključnim internetskim uslugama. Jednako kao što svoje proizvode dizajniramo da budu jednostavni, intuitivni i sposobni, tako ih dizajniramo i da budu sigurni. Ključne sigurnosne značajke, poput enkripcije uređaja temeljene na hardveru, ne mogu se greškom onemogućiti. Ostale značajke, kao što su Touch ID i Face ID, poboljšavaju iskustvo korisnika čineći zaštitu uređaja jednostavnijom i intuitivnijom. A budući da je mnogo ovih značajki standardno omogućeno, korisnici ili IT odjeli ne moraju stvarati opsežne konfiguracije. Ova dokumentacija daje detalje o načinu na koji se sigurnosna tehnologija i značajke implementiraju u okviru Apple platformi. Također pomaže organizacijama da kombiniraju sigurnosnu tehnologiju i značajke Apple platforme kako bi se ispunile njihove specifične sigurnosne potrebe. Sadržaj je organiziran u sljedeće teme: • Sigurnost hardvera i biometrija: hardver koji predstavlja temelj sigurnosti na Apple uređajima, uključujući Secure Enclave, dedicirani AES kriptografski modul, Touch ID i Face ID. • Sigurnost sustava: integrirane hardverske i softverske funkcije koje omogućuju sigurno podizanje, ažuriranje i kontinuirani rad Apple operativnih sustava. • Enkripcija i Zaštita podataka: arhitektura i dizajn koji štiti podatke korisnika ako se uređaj izgubi ili bude ukraden ili ako ga neovlaštena osoba ili proces pokuša koristiti ili izmijeniti. • Sigurnost aplikacija: softver i usluge koje osiguravaju siguran ekosustav aplikacija i omogućuju aplikacijama da se pokreću sigurno i bez ugrožavanja integriteta platforme. • Sigurnost usluga: usluge društva Apple za identifikaciju, upravljanje lozinkama, plaćanja, komunikaciju i pronalaženje izgubljenih uređaja. Sigurnost Apple platforme 5 • Sigurnost mreže: protokoli umrežavanja koji su industrijski standard te koji osiguravaju sigurnu autentikaciju i enkripciju podataka koji se prenose. • Kompleti alata za developere (“Developer Kits”): okviri za sigurno i privatno upravljanje domom i zdravljem, kao i proširenje mogućnosti Apple uređaja i usluga na aplikacije drugih proizvođača. • Sigurno upravljanje uređajima: načini koji omogućuju upravljanje Apple uređajima, sprječavaju neovlaštenu uporabu i omogućuju udaljeno brisanje ako se uređaj izgubi ili ukrade. • Certifikati o sigurnosti i privatnosti: informacije o ISO certifikatima, kriptografskoj provjeri, Certifikatima za zajedničke sigurnosne kriterije i Commercial Solutions for Classified (CSfC) programu. Obveza za sigurnost Apple se obvezao pomagati zaštititi klijente s vodećim tehnologijama sigurnosti i privatnosti dizajniranima da čuvaju osobne podatke i sveobuhvatnim metodama da pomognu zaštititi korporativne podatke u poslovnom okruženju. Apple nagrađuje istraživače za rad koji obavljaju u otkrivanju ranjivosti nudeći Apple nagradu za sigurnost. Detalje o programu i kategorijama nagrada možete pronaći na https://developer.apple.com/ security-bounty/. Imamo dedicirani sigurnosni tim za podršku svim proizvodima. Tim pruža sigurnosnu reviziju i testiranje za proizvode, kako one u razvoju, tako i već izdane. Apple tim također osigurava sigurnosne alate i obuku, te aktivno nadzire prijetnje i izvješća o novim sigurnosnim problemima. Apple je član Forum of Incident Response and Security Teams (FIRST). Apple nastavlja pomicati granice onoga što je moguće u sigurnosti i privatnosti. Primjerice, aplikacija Pronalaženje koristi postojeće osnovne elemente kako bi se omogućila revolucionarna mogućnost distribuiranog pronalaženja Mac računala koje nije na mreži bez izlaganja ikome, uključujući društvu Apple, identiteta ili lokacijskih podataka bilo kojih uključenih korisnika. Za poboljšanje sigurnosti firmvera Mac računala Apple je koristio ekvivalent tablica stranica za blokiranje neprikladnog pristupa iz perifernih uređaja, ali u toliko ranom trenutku procesa podizanja da se RAM još nije učitao. A kako napadači nastavljaju povećavati sofisticiranost svojih tehnika iskorištavanja, Apple dinamički kontrolira povlastice izvođenja memorije za iPhone i iPad, koristeći prilagođene CPU upute, koje nisu dostupne nijednom drugom mobilnom uređaju, za izbjegavanje kompromitiranja. Od podjednake važnosti kao i inovacija novih sigurnosnih mogućnosti, nove značajke izrađene su na način da je u središnju njihova dizajna privatnost i sigurnost. Kako bi se najbolje iskoristile sveobuhvatne sigurnosne značajke ugrađene u naše platforme, organizacije se potiču da pregledaju svoje IT i sigurnosne politike kako bi osigurale da koriste sve prednosti slojeve sigurnosne tehnologije koje ove platforme nude. Kako biste saznali više o prijavljivanju problema društvu Apple i pretplaćivanju na sigurnosne obavijesti, pogledajte Prijavljivanje sigurnosne ranjivosti ili ranjivosti privatnosti. Sigurnost Apple platforme 6 Apple smatra da je privatnost osnovno ljudsko pravo i implementira razne ugrađene kontrole i opcije koje korisnicima omogućavaju odlučivanje na koji način i u koje vrijeme aplikacije mogu koristiti njihove informacije, kao i odabir informacija koje se koriste. Za dodatne informacije o načinu na koji tvrtka Apple pristupa privatnosti, kontrolama privatnosti na Apple uređajima i pravilima privatnosti tvrtke Apple pogledajte https:// www.apple.com/hr/privacy. Napomena: Osim ako nije drugačije navedeno, ova dokumentacija odnosi se na sljedeće verzije operativnih sustava: iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 i watchOS 6.2. Sigurnost Apple platforme 7 Sigurnost hardvera i biometrija Pregled sigurnosti hardvera Sigurni softver zahtijeva temelj sigurnosti ugrađen u hardver. Zato Apple uređaji, s instaliranim sustavom iOS, iPadOS, macOS, watchOS ili tvOS, imaju mogućnosti sigurnosti dizajnirane u samom hardveru. One uključuju prilagođene mogućnosti procesora koje osnažuju sigurnosne značajke i hardver dediciran za sigurnosne funkcije. Najkritičnija komponenta je Secure Enclave koprocesor koji se pojavljuje na svim modernim iOS, iPadOS, watchOS i tvOS uređajima, te svim Mac