Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах
Continue reading

Удалить нельзя заблокировать

К этому моменту вы уже наверняка из каждого утюга услышали новость о том, что РосКомНадзор потребовал от Apple удалить приложение Telegram из App Store:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим вас в кратчайшие сроки проинформировать нас о дальнейших действиях компании, направленных на решение данных проблемных вопросов», говорится в письме РКН. То есть речь уже не просто о требовании убрать приложение, но и об открытом шантаже: «если вы не уберёте приложение, мы вам отключим газ».
Тут столько всего интересного, что я даже не знаю, с чего начать. Можно начать с того, что это уже повторное обращение РКН к Apple – говорилось, что ещё 17 апреля РКН направил письмо в Apple и Google ограничить доступность приложения Telegram для России, но как-то что-то ничего не поменялось.
Continue reading

Писать или не писать, вот в чем вопрос (мобильное приложение)

Если вы вдруг прочитали не с ударением на “писАть”, то рискну предположить, что вы ошиблись ресурсом. Для всех же остальных, в рамках потенциального пятничного “розжыга”, небольшая заметка, которую я недавно по просьбе нашего PR написал для одного журнала. Изначально вопрос звучал так:

Business Fun (русский) нужен комментарий на тему, с какой версии лучше начинать мобильное приложение, с iOS или с Android. Там нужно расписать плюсы-минусы, сложности и подводные камни для каждой платформы.

И тут почему-то я решил подумать “outside of the box”, поэтому в итоге комментарий получился слишком развернутый, и не только в том плане, что слишком большой, но и в том плане, что немного развернулся не в ту сторону. В общем, вы почитайте и скажите, что вы думаете по этому поводу.
——————
Я хотел начать с какой-нибудь наверняка уже набившей оскомину шутки про Android, но это было бы слишком предсказуемо. В этот раз все серьезно.
Continue reading

Цены в App Store — анализ

Самой горячей темой вчерашнего дня (судя по количеству СМИ, обратившихся за комментариями по этому поводу) стало так называемое “повышение цен в App Store”. Ко-ко-ко по этому поводу, причем с лозунгами из серии “ЭПЛ ПОВЫШАЕТ ЦЕНЫ!!!”, раздавалось на весь интернет из традиционных “блогов”, которые давно превратились в кликогенерящие псевдоновостные ресурсы.
При этом многие из авторов подобного “ко-ко-ко”, естественно, в глаза никогда не видели iTunes Connect и не сильно представляют себе вопрос ценообразования мобильных приложений, поэтому на выходе получалась обычно совершенно глупая фигня. Давайте разберемся по порядку и поймем, что же на самом деле произошло и что это может означать для цен на приложения в будущем.
iTunes Connect — это основной интерфейс разработчика с iTunes (App) Store. Это портал, куда загружаются приложения, подаваемые на рассмотрение Apple, где прописывается описание приложения и ключевые поисковые термины для него, загружается соответствующий арт для App Store, а также, что немаловажно, именно там разработчик (обратите внимание — разработчик, а не Apple) устанавливает цену для своего приложения. А если приложение бесплатное, но с элементами покупок внутри этого приложения — то и цену этих элементов.
Continue reading

Возврат денег в App Store

На прошлой неделе я провернул эту операцию в App Store — вернул деньги за приложение, которое мне не подошло, и поделился этим в Твиттере. Судя по ответам, которые я получил, многие из вас знают об этой процедуре, но еще больше людей оказались не в курсе и просили рассказать, как это сделать, что я с радостью и выполняю.
Как таковой процедуры возврата денег в App Store не существует, так как условия работы с магазином iTunes (частью которого является и App Store) гласят, что все продажи являются конечными — “All sales and rentals of products are final.” Это означает, формально получить деньги обратно нельзя. И в условиях, когда App Store забит бесплатными приложениями с функцией in-app purchase для покупки контента внутри приложения, это можно терпеть, но когда нужно воспользоваться платным приложением, разработчики которого не заморочились созданием Lite-версии, то начинаешь задумываться о том, что режим Trial мог бы и пригодиться в App Store. Наверно, нет же ничего сложного в том, чтобы прямо в App Store контролировался момент работы приложения — 7-15 дней — после которого приложение перестает запускаться без оплаты, но, видимо, у Apple другие приоритеты. Кто знает, может быть мы получим Trial в рамках iOS 7 и обновления магазина, но пока что в это не особо верится.
Continue reading

Вам не нужны все клиенты до единого

Продолжая тему с ценообразованием на приложения, поднятую в пятницу, хочу перевести заметку Марко Армент про цены и жалобы пользователей (собственно, из-за текста про отношения к жалобам, комментариям и отзывам я начал ее переводить). Марко затрагивает очень интересную тему, по поводу которой я лично перестал уже переживать, но многие начинающие разработчики продолжают делать эту ошибку — они хватаются за каждую жалобу, каждое пожелание пользователей, и пытаются вкрячить это в свое приложение или сервис, рассчитывая, что это позволит все-таки продать продукт “тому самому жалобщику”. И если это помогало Microsoft продавать Windows корпоративным заказчикам, которых компания не могла игнорировать (правда, на выходе получилось мы знаем что), то современным небольшим разработчикам-компаниям с доступом к миллионам потенциальных покупателей в App Store это скорее помешает. Удовлетворить всех, как вы узнаете из статьи, просто нельзя — нужно фокусироваться на том, что приложение делает лучше всего, и затем развивать его естественным путем (тут уже есть варианты как это делать, но об этом в другой раз).
————–
У каждого посещаемого сайта есть комменты. (Люди вроде меня, кто не любит давать другим возможность публиковать комментарии к своим статьям, все равно получают достаточно комментариев, просто в других местах, вроде почты, Твиттера или Hacker News).
Любое приложение с увесистым количеством закачек, скорей всего, тоже будет прокомментирована, в виде отзывов в App Store. И это относится не только к рынку приложения, так как магазины вроде Amazon позволяют любому обозревать продукты и СМИ, а сайты вроде Yelp публикуют обзор любого человека на любой ресторан, клинику или церковь.
Continue reading

Послевкусие бесплатности

Все мы привыкли и любим халяву — кто же не любит, когда ему что-то достается бесплатно? Правда, мама мне долгое время вбивала в голову, что бесплатный сыр только в мышеловке, поэтому когда я вижу что-то про халяву, я напрягаюсь и начинаю искать подвох. К сожалению, то, что происходит в экосистеме мобильных устройств, магазинов и приложений как раз больше похоже на подвохи, чем на нормальный процесс, хотя на первый взгляд все вроде цивильно — разработчики выпускают приложения, пользователи платят, а Apple/Google/Amazon отдают часть денег разработчикам.
Но когда начинаешь смотреть на это все ближе, особенно если ты на этом рынке с самого начала и успел застать, когда было по-другому, то возникают сомнения в долгосрочных перспективах сложившегося положения. Когда появился App Store, там были платные и бесплатные приложения, но вторые были либо просто пробами пера и поделками начинающих разработчиков, либо Lite/demo версиями платных приложений. При этом платные приложения были достаточно дорогими — по сложившейся на мобильных приставках традиции игры стоили 15-25 долларов, а стоимость приложений тоже могла составлять от 10 до 30 долларов. А потом началась гонка цен на приложения до дна (я бы даже сказал “до днища”), и мы имеем то, что имеем.
Continue reading