Расплата Facebook

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в “исследовании” пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что “мы там всех предупреждали и запрашивали разрешения”.

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
– публикуется новость
– фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
– затем наступает фаза “Мы ничего не нарушали, но мы прекращаем эту практику”
– затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
– затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
– Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что “фейсбук как всегда” не так уж далека от правды.

Facebook как всегда

Вчера на TechCrunch вышел материал о приложении Facebook Research для iOS и Android. Это приложение распространяется через сторонние сервисы под соусом “исследования аудитории”, вот страница для регистрации по участию в сервисе (кроме Applause, используются сервисы BetaBound и uTest). Требование к аудитории — проживание в США и возраст от 13 до 37 лет. Участие в исследовании предполагает оплату 20 долларов в месяц, а в обмен на это приложение собирает с телефонов пользователей практически все, что можно с телефонов собрать. Дело в том, что:
а) приложение для iOS распространяется с использованием сертификата разработчика Apple для корпоративных приложений, что дает Facebook практически полный доступ к данным пользователей на телефонах, включая фото и видео, почту, историю в браузерах, информацию о местоположении и тд.
б) приложение является замаскированным VPN-клиентом Onavo, принадлежащим Facebook, и, соответственно, дает Facebook доступ ко всему сетевому трафику устройств, на которых установлено такое приложение.
В некоторых случаях приложение даже просит аплоадить скриншоты истории покупок на Amazon (что вообще?).

Про Onavo вы можете помнить из истории еще летом, когда оказалось, что Facebook собирает слишком много информации о пользователях, не предупреждая их об этом, и в итоге Onavo убрали из App Store. Именно Onavo, кстати, в свое время показал Фейсбуку рост популярности WhatsApp, что привело к приобретению сервиса компанией Facebook. Но тут ситуация осложняется не только тем, что сервисы, распространяющие это приложение, не раскрывают полный набор данных, собираемых этим приложением (достаточно посмотреть на описание внизу страницы регистрации).

“By installing the software, you’re giving our client permission to collect data from your phone that will help them understand how you browse the internet, and how you use the features in the apps you’ve installed . . . This means you’re letting our client collect information such as which apps are on your phone, how and when you use them, data about your activities and content within those apps, as well as how other people interact with you or your content within those apps. You are also letting our client collect information about your internet browsing activity (including the websites you visit and data that is exchanged between your device and those websites) and your use of other online services. There are some instances when our client will collect this information even where the app uses encryption, or from within secure browser sessions.”

Большинство пользователей, особенно подростки, в мир которых так хочет заглянуть Facebook, не способны полноценно осознать масштабы сбора информации, который осуществляет это приложение. Что именно собирает приложение, точно сказать невозможно, не посмотрев на логи на сервере, но зная Facebook, можно предположить, что все, до чего могли дотянуться их руки, они собирают.

Проблема еще и в том, что корпоративный сертификат разработчика Apple нельзя использовать для распространения приложений таким образом. Enterprise сертификаты могут использоваться для подписи приложений, которые будут использоваться сотрудниками компании для внутренних нужд, с целью разработки и тестирования. Непонятно, какой будет реакция Apple в этой ситуации. Теоретически компания может (и должна) отозвать корпоративный сертификат разработчика Facebook, но там и до полноценной войны между двумя корпорациями недалеко. У Apple не так много рычагов для влияния на Facebook — не станет же Apple удалять приложение Facebook из App Store. Но это настолько очевидная пощечина Apple с её борьбой за конфиденциальность пользовательских данных, что компания просто обязана как-то отреагировать. Пора доставать попкорн.

Квартальные результаты Apple, Q1 2019

Вчера Apple официально подвела итоги первого финансового квартала 2019 года (того самого, об изменении прогнозов которого предупреждал всех Тим Кук почти месяц назад). Главный показатель квартала — выручка компании за квартал составила 84,3 млрд долларов США, что на 5% меньше по сравнению с годом ранее, а чистая прибыль на акцию за квартал составила 4,18 доллара. Прогноз Apple по продажам на следующий квартал — выручка 55-59 млрд долл (для сравнения, год назад выручка в этом же квартале составила 61,1 млрд долл).

Поскольку продажи в штуках Apple перестала сообщать, приходится довольствоваться данными о выручке по категориям продуктов:
– iPhone: $51,98 млрд (снижение на 15%)
– iPad: $6,73 млрд (рост 17%)
– Mac: $7,416 млрд (рост 9%)
– Сервисы: $10,9 млрд (рост 19%)
– Носимая и домашняя электроника, аксессуары: $7,31 млрд (рост 33%)
Continue reading

Дыра в FaceTime

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление “будет выпущено на этой неделе”.

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать “Выключить FaceTime”:

На iPhone или iPad, нужно зайти в приложение “Настройки”, найти там FaceTime, и отключить верхнюю галку:

Берегите свою информацию!

Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.

Источник:
https://www.idownloadblog.com/2019/01/28/apple-disables-group-facetime-after-critical-privacy-bug-surfaces/

Cybersecus дайджест

Оставлю вас на выходные с большой коллекцией ссылок на почитать.

1. Федеральный судья в США постановил, что полиция не может принудить человека разблокировать iPhone c помощью Face ID или Touch ID, таким образом приравняв биометрическую безопасность устройств к паролям. Я как-то писал об этой коллизии между биометрией и паролями “в голове”, так что официальное решение суда по этому поводу вносит какую-то ясность в этот вопрос.

https://www.documentcloud.org/documents/5684083-Judge-Says-Facial-Recognition-Unlocks-Not.html

2. У The Verge вышло интервью с техническим директором компании Vizio, крупного производителя телевизоров в США. В свое время компания оказалась участником скандала, в рамках которого обнаружилось, что компания скрытно собирала информацию о том, что пользователи смотрят на экране телевизоров. Эта история опять всплыла, когда на CES Apple анонсировала, что в телевизорах Vizio (а также Samsung, LG, Sony) появится поддержка AirPlay и HomeKit. Тут же последовали вопросы, как Apple, которая борется за конфиденциальность данных своих пользователей, будет мириться с такими практиками в современном телемире. (ответ на этот вопрос был такой, что у Apple условие с телепроизводителями, что данные, идущие по AirPlay/HomeKit, собираться и обрабатываться не могут). Но речь немного не об этом. Так вот, в интервью он признал, что сбор данных, по сути, частично отбивает стоимость телевизоров, иначе телевизоры (без smart-функциональности) были бы просто дороже. (Прекрасно, прекрасно!). Так что за дешевые телевизоры пользователи просто платят своими данными, и очевидно, что дальше будет хуже.

https://www.theverge.com/2019/1/7/18172397/airplay-2-homekit-vizio-tv-bill-baxter-interview-vergecast-ces-2019

3. Тим Кук, генеральный директор Apple, опубликовал заметку в журнале Time, в которой призвал к принятию в США закона о конфиденциальности пользовательских данных. Все, как он неоднократно говорил: 1. минимизация сбора данных, 2. право на знание о том, что за данные собираются и зачем, 3. Право на доступ пользователей к своей информации, включая изменение и удаление, и 4. право на безопасность данных. Не то, чтобы европейский GDPR внезапно сделал нам всем хорошо и безопасно, но лучше, конечно, чтобы и на этой стороне водоема под названием Атлантический океан что-то такое было.

http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/

4. Твиттер рассказал о баге, который привел к тому, что часть твитов у защищенных аккаунтов на смартфонах с Android оказывалась публично доступной. На протяжении нескольких лет.
https://help.twitter.com/en/protected-tweets-android

5. Популярный плагин для WordPress — Social Network Tabs, используемый для подключения аккаунтов социальных сетей к сайту, оставлял токены прямо в исходном коде сайтов на WordPress.
https://twitter.com/fs0c131y/status/1085828186708066304

Кризис, шмизис

Прошло несколько дней с того момента, как Apple объявила, что прогнозированные ранее результаты квартала придется немного “пересмотреть”. Можете почитать об этом по ссылке выше, если вы вдруг пропустили, а также здесь есть перевод письма Тима Кука акционерам на русском языке. Напомню вкратце: компания объявила, что прогнозируемая ранее выручка в квартале на уровне 89-93 млрд долларов не будет достигнута, а выручка составит примерно 84 млрд долл (не дотянули примерно 5% от минимального прогноза и около 9% от максимального).

Даже несмотря на то, что Тим Кук несколько раз упомянул рынок Китая как один из основных составляющих компонентов падения, аналитики всех мастей завели волынку о самых разных проблемах с продуктами компании и о проблемах внутри самой компании. Вот заголовки статей только с одного сайта за сутки(!):

Continue reading

Обращение Тима Кука к акционерам Apple

Сегодня Apple сделала несколько неожиданный шаг — компания опубликовала письмо генерального директора компании Тима Кука к акционерам, рассказав немного о предстоящей публикации финансовых результатов квартала, который только что закончился (версия на русском языке). Это достаточно необычно, потому что компании пришлось рассказать о том, что её прогноз на выручку этого квартала, данный около 2 месяцев назад, не оправдался. Компания ожидала выручку в пределах между 89 и 93 млрд долл. Однако, в только что закончившемся квартале выручка составила примерно 84 млрд. долларов (это ниже, чем в квартале год назад, когда выручка составила 88.3 млрд долл). Скорей всего, такой анонс вызван юридическими требованиями, регулирующими деятельность публичных компаний; сидеть еще месяц на информации, что компания не добрала 5-9 млрд долларов выручки, чревато исками о сокрытии информации от акционеров, любящих подавать иски.


(уже не получится)

Новости, безусловно, для компании плохие – тут нечего отрицать. Тим Кук в своем письме по ссылке выше пытается пояснить, почему так произошло. Письмо, как мне показалось, достаточно сложное, и поэтому, допущу, ситуация может оказаться (или показаться) хуже, чем на самом деле. Покажет будущее, но в этом квартале хор слухов о снижении заказов на производство таки оказался верным; их было достаточно много, чтобы просто игнорировать как неполную или некорректную информацию. Правда, для Apple этот квартал все равно станет вторым по объемам выручки квартал за истории компании (“жалкие 84 млрд!”), но это уже не так важно для критиков, потому что “Акелла промахнулся!”.

Я собрал здесь основные пункты из письма Кука, которые мне показались интересными, плюс разбавил это своими комментариями, чтобы было веселее.
Continue reading

Прозрачность

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

– Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
– Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
– Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
– Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
– Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
– Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
– Вопросы, касающиеся национальной безопасности США.
– Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Continue reading

Два HomePod, Apple TV и фрустрации

С моего первого отзыва о HomePod (там пропали картинки по этой причине) прошло уже достаточно много времени, а устройство по-прежнему радует уши приятным звучанием самой разной музыки. За этот период с HomePod подружилось все семейство, и, подозреваю, что по количеству проигрываемой музыки эта колонка вырвалась далеко вперёд, оторвавшись от всех других источников музыки в доме. Звук, издаваемый этим маленьким “ведерком”, совершенно не соответствует размерам источника (в лучшую сторону), и неоднократно вызывал восторги у гостей. Siri, правда, все так же раздражает своей ограниченностью в понимании зачастую достаточно простых запросов, но для большинства задач, в которых она нужна, она справляется.

Но я также много читал о том, что два HomePod звучат гораздо лучше, чем один, и поэтому когда я увидел, что этой осенью HomePod появился с хорошими скидками в магазинах… Да, я бы хотел сказать, что “сразу купил”, но это было бы неправдой. Сначала HomePod “выбросили” в BestBuy за 250 долларов, я посмотрел на это, повздыхал, и решил подумать. Пока я думал, в BestBuy все со скидками распродали и цена вернулась к обычным 350 долларов. Затем то же самое случилось и с распродажей в Target: пока я думал, продукт стал sold out. И вот в третий раз, когда эту распродажу объявили в BH Photo & Video (легендарном нью-йоркском магазине), тут уж я не стал ждать, и заказал в онлайне второй HomePod.

Continue reading

Supermicro и Bloomberg

Помните историю года про чипы в серверах Supermicro, собранных для Apple и Amazon, опубликованную в издании Bloomberg? (что я спрашиваю, конечно, помните). У той новости было много дополнений, в основном в виде опровержений от Apple, от Amazon, от разведывательных ведомств разных стран, и даже от Supermicro. Издание Bloomberg продолжает хранить гордое молчание, не предоставив никаких дополнительных доказательств к этому материалу, ни отозвав материал, как призывали представители Apple и Amazon. Подозреваю, что Bloomberg пытается собрать дополнительные материалы, чтобы доказать, что они все-таки опубликовали не полный bullshit, но пока что эта статья является темным пятном на репутации вполне уважаемого издания.

Но вспомнил я об этой истории сегодня, потому что именно сегодня компания Supermicro разослала своим клиентам письмо о том, что компания закончила расследование по материалам, озвученным в статье Bloomberg. Компания пишет, что во время расследования она не обнаружила никаких доказательств вредоносного аппаратного внедрения ни в текущих, ни в старых моделях материнских плат в серверах компании. Расследование было проведено компанией Nardello & Co, которая тестировала в том числе и материнские платы, проданные в Apple и Amazon. Supermicro все еще рассматривает различные юридические опции касательно этого материала. Хотя, конечно, негативный эффект распространяется и на Amazon/Apple, но, скорей всего, эти компании не будут подавать на Bloomberg в суд — это плохо с точки зрения PR, когда огромные корпорации судятся с журналистами.

АПД Письмо CEO Supermicro