WWDC20 и изменения в защите данных пользователей

Конференция WWDC — это время не только анонсов новых версий операционных систем, но и (иногда) — смены процессорных архитектур, которых за историю Apple уже наберется приличное количество. Про переход на Arm (он же Apple silicon, он же “процессоры собственной разработки”) я особо не могу комментировать в связи с определенными обстоятельствами, но с удовольствием поговорю о тех изменениях защиты персональных данных, которые появятся уже в этом году для пользователей техники Apple.

Об одном из них я уже сегодня писал — про доступ сторонних приложений к буферу обмена в iOS14 и уведомлениям об этом, которые видит пользователей. Это изменение стало сюрпризом для некоторых разработчиков, и стало поводом для слухов о том, что все приложения пытаются украсть пользовательские данные, хотя реальность на самом деле не так ужасна. Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Еще в прошлом году компания Mysk опубликовала результаты исследования о том, как сторонние приложения могут читать содержимое буфера в iOS. Вот есть исследование на эту тему. Не удивлюсь, если именно это исследование стало толчком для этих изменений в iOS.
Continue reading

О съемках видео сборки нашего автопроекта

У меня уже спрашивали некоторые знакомые, да и другим тоже наверняка может быть интересно о том, из чего состоит мой набор начинающего Ютюбера. Напомню, мы собираем в гараже реплику Shelby Cobra 1965 года, и я рассказываю об этом в серии видео в этом плейлисте.

Кто еще не подписался — лучше подпишитесь!
Continue reading

Apple и шифрование бэкапов iCloud

Так получается, что январь — это какое-то обострение новостей про Apple и информационную безопасность. Тема в целом сложная и запутанная, а когда в нее примешивать еще “экспертизу” и уверенность интернет-пользователей, то разобраться в ней бывает еще сложнее.

Вот и вчера у Reuters вышел материал, что Apple якобы отказалась от шифрования iCloud после жалоб ФБР о том, что это может помешать расследованиям. (А до этого еще была новость про сканирование фотографий в iCloud на предмет содержания сцен насилия над детьми. А совсем недавно – про разблокировку iPhone). Материал изобилует цитатами источников, пожелавших остаться неизвестными, которые знакомы с темой, хотя никто прямо не связывает события (требования ФБР) и результат (отсутствие шифрования у бэкапов iCloud). По ссылке есть хороший разбор Джона Грубера именно о тексте, цитировании и выводах в статье Reuters. Чего стоит только цитата одного из источников “Можете себе представить причины”. Да, я, например, могу, и там необязательно будет фигурировать требование ФБР. Поэтому одной из ключевых цитат материала я бы назвал эту:

Reuters could not determine why exactly Apple dropped the plan.

(Reuters не смогли определить точную причину, по которой Apple отказалась от плана (шифровать бэкапы))

Таким образом Reuters не смогла на основании собранных отзывов однозначно установить причинно-следственную связь, но многим этого и не нужно, они и “так все давно знали”. Хотя мне все же хочется разобраться в этом получше, и я очень надеюсь, что в ближайшее время мы услышим официальный комментарий от Apple по этому поводу.
Continue reading

Apple, ФБР и iPhone, сезон 2

Все в мире развивается по спирали или по кругу (кому как больше нравится, лишь бы в фарс не превращалось). Помните историю из, казалось бы, далекого 2015 года, когда ФБР пыталась заставить Apple разблокировать iPhone террориста? Вот тут по тэгу “fbi” снизу вверх можно проследить за развитием тех событий. Тогда, напомню, ФБР долго играло мышцами в попытках вынудить Apple создать бэкдор для iPhone для того, чтобы получить доступ к данным террориста. Закончилось все тем, что Cellebrite, компания, которая занимается взломом iPhone и получением данных с устройств, помогла ФБР выгрузить данные с iPhone 5C, и на этом история затихла (кстати, кажется, ничего нового из тех данных ФБР не узнала). Еще тогда было понятно, что затишье временное.

В последнее время в США (да и не только в США) опять стали раздаваться призывы к тому, чтобы технологические компании вроде Apple, Facebook и др. раскрыли свои системы шифрования, потому что “террористы, педофилы, вот это все”. Особенно в этом засветился текущий генпрокурор США Уильям Барр (с призывами, а не с педофилией). В качестве вишенки на торте пригодилась история вокруг сразу двух iPhone стрелка из Пенсакола, штат Флорида. 6 декабря Мохамед Саид Алшамрани убил трех человек на военно-морской базе во Флориде, и теперь ФБР пытается вскрыть принадлежавшие ему два iPhone (iPhone 5 и iPhone 7), оставшиеся после того, как его убили. Телефоны заблокированы паролями, и ФБР пока что не смогла разблокировать устройства (в один из телефонов он даже выстрелил для уничтожения, но в ФБР смогли его восстановить до рабочего состояния).
Continue reading

Изменения безопасности в iOS 13

Пока многие из вас устанавливают iOS 13 (пишут, что уже более 20% пользователей iOS-устройств переехали на новую систему), и знакомятся с новыми возможностями системы (и новыми багами), я хочу поговорить о других, менее заметных изменениях в самой системе, чем, например, темная тема. Эти изменения касаются конфиденциальности и безопасности в первую очередь пользовательской информации. Apple традиционно говорит о том, что компания старается оберегать пользовательские данные от лишних посягательств, и в целом, с переменным успехом, это демонстрирует на деле.

Как минимум, с одним из этих «подкапотных» изменений пользователи iOS 13 уже могли столкнуться. В iOS 13 теперь приложения, которые используют для своей работы Bluetooth, должны получить соглашение пользователя на это. Я думаю, что многие удивились тому, для скольких приложений требуется использование BT, и задались вопросом «а зачем?». Важно понимать, что приложения, которые воспроизводят аудио в Bluetooth-наушники, например, в доступе к самому беспроводному интерфейсу не нуждаются. Грубо говоря, такие приложения говорят системе «я хочу проиграть аудио», и уже затем система направляет звук в тот выход, которым в данный момент пользуется владелец смартфона. Поэтому когда доступ к Bluetooth просит Spotify, очевидно, что кроме воспроизведения аудио, приложение хочет что-то делать еще через Bluetooth.
Continue reading

Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

Прослушивание записей Siri

Последняя тема с голосовыми помощниками – материал в Guardian о том, что у Apple, как и у Google, Amazon и Яндекс, есть команда людей, которые получают небольшие сегменты голосовых записей команд Siri для последующей обработки и улучшения систем распознавания. В результате к прослушивающим попадают и записи от случайных срабатываний, в том числе содержащие какую-то личную информацию. Что отличает этот кейс от других – позиция Apple, которая давно и много говорит о защите частной информации. И хотя проверяемые аудиозаписи составляют небольшой объём от общего количества запросов (менее 1%) и отвязаны от данных типа Apple ID, но что-то личное просочиться все равно может.

Что, в общем-то, для людей, которые занимаются разработкой подобных алгоритмов не стало сюрпризом, потому что алгоритмы нужно обучать в том числе на реальных данных, полученных от пользователей. Как озвучил один мой знакомый, это примерно как возмущаться тому, что гинеколог смотрит на интимные места пациентов. Но для журналистов сенсационность материала заглушает голоса здравого смысла, и мы на выходе получаем подобные материалы, которые фокусируются совсем не на том аспекте проблемы.
Continue reading

WWDC 2019 — безопасность и конфиденциальность

Для меня показателем того, насколько интересной была в этом году конференция WWDC, является тот факт, что я до сих пор продолжаю публиковать свои заметки о том, что на ней показали. (да, уже прошел целый месяц после WWDC, просто я медленно пишу). К счастью, это последний материал, который я хотел написать по следам конференции.

Кроме всех новинок операционных систем, Mac Pro с новым монитором, и проч., я бы хотел отдельно выделить улучшения в продуктах, которые касаются безопасности и конфиденциальности пользовательской информации. О некоторых, как, например, Sign In with Apple или Find My я уже писал, а до остального руки дошли только сейчас. Хотя там тоже хватает интересного.


Список security-изменений в новых версиях iOS/macOS
Continue reading

Впечатления после WWDC2019 – iPadOS

Поскольку позавчера публичные беты iOS 13/iPadOS/macOS 10.15 начали раздавать всем желающим станцевать на граблях багов, расскажу свои впечатления от iPadOS (забавно, что она без номера). Тем более, что она была у меня установлена на iPad mini 5 с первого дня анонса, на iPad Pro 10.5 примерно дней 10, и какие-то мысли уже накопились.

Анонс iPadOS, с одной стороны, оказался одним из самых больших сюрпризов конференции, а с другой — вполне закономерным развитием тех шагов, которые предпринимала Apple для модификации операционной системы iOS для своих планшетов. Достаточно вспомнить тот задел по многозадачности (хотя, точнее было бы сказать “несколькозадачности”), который внедрила Apple в iOS пару лет назад. Apple давно и упорно продвигает тему iPad как современную альтернативу компьютеру, так что это был вопрос времени — выделения системы для планшетов в отдельную ветку. Меня этот анонс порадовал едва ли не больше всего, поскольку я достаточно много пользуюсь iPad, и в ограничения системы я периодически упираюсь. Забегая вперед, сразу спойлерну, что iPadOS эти ограничения не снимает, и не факт, что когда-либо снимет — парадигма платформы другая. Однако, развитие системы движет её в направлении снижения фрикций при использовании.
Continue reading

Find My

Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои устройства сама по себе не нова и присутствовала у Apple под названием Find My iPhone много лет (и со временем стала позволять обнаруживать не только iPhone, но и другие устройства Apple, в том числе Маки). Историй о том, как пользователи находили свои потерянные и украденные устройства, включая истории про погони по городам за ворами, достаточно много. В этом году Apple, объединив два приложения Find My iPhone и Find My Friends, представила новый сервис Find My, который должен стать единым местом для просмотра информации о местоположении людей и техники. С людьми и социальным аспектом в целом понятно, а вот мониторинг устройств приобрёл очень интересную функцию. Речь идёт о возможности пользователю видеть местоположение устройства, которое не подключено к интернету.


Continue reading