“Для чего нужен новый iPod?”

Вчера одно издание обратилось ко мне за комментарием с вопросом, вынесенным в заголовок, и я решил, что можно его опубликовать и в блоге, тем более, что этот вопрос достаточно популярен и встречается часто. Моя первая реакция в Твиттере после вчерашнего анонса была такая:

Хорошие новости:
– там теперь процессор от iPhone 7
– есть 256ГБ
– дешево
– миниджек!

Плохие новости:
– ни FaceID, ни TouchID
– 4” экран, который придется поддерживать в приложениях
– гигантские рамки

Но возвращаясь к вопросу. У меня сформулировался на него следующий ответ:

iPod Touch, на первый взгляд, может показаться странным продуктом, который мало кому нужен. Действительно, зачем нужен, по сути, смартфон, но без возможности подключения к сотовой сети? Есть же iPhone, он решает все вопросы, которые может решить iPod Touch. Однако, iPod touch обладает гораздо большей популярностью, чем может показаться со стороны. Это недорогое устройство на базе iOS, что обеспечивает возможность использования экосистемы приложений и получения всех преимуществ iOS в виде безопасности, фокуса Apple на конфиденциальности данных, своевременных обновлений и возможностей по управлению корпоративными системами. Благодаря этим факторам, iPod Touch активно приобретают и используют в бизнес-среде, в качестве устройств для приема заказов и оплаты, устройств для сканирования товаров на полках магазинов и складов, и тд. Небольшая стоимость устройства, по сравнению с даже самым дешевым iPhone, добавляет привлекательности iPod Touch.
Continue reading

ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Новое приложение Apple TV

На прошлой неделе у меня была возможность послушать рассказ “от первоисточников”, так сказать, о новом приложении Apple TV для iOS и tvOS. (Написать эти заголовок и строку было не так просто, как может показаться — нужно было не запутаться в упоминаниях Apple TV как приложения, которое выпущено в том числе и для Apple TV как приставки). It just works!™

Так вот, вместе со вчерашним выходом обновлений iOS 12.3 и tvOS 12.3 пользователи получили обновленное приложение Apple TV. Оно было анонсировано в марте на мероприятии Apple по запуску новых сервисов компании. Кстати, это приложение вышло не только для устройств Apple, но и для смарт-телевизоров Samsung (это показали еще в январе на CES, хотя и под именем iTunes Store). Осенью также выйдет и приложение для macOS. Именно в этом приложении тоже осенью появится собственный контент Apple TV+ со своими собственными сериалами и фильмами, но вчерашний апдейт приложения не о нем. Некоторые изменения в новом приложении не очень актуальны для пользователей Apple TV в России, но не все так безнадежно, судя по ответам представителей компании.
Continue reading

Квартальные результаты Apple, второй квартал 2019 года

И снова с вами, несмотря на праздники, регулярная ежеквартальная рубрика “Хроники краха Apple” (или, как я еще её называю, комментарии к озвученным результатам деятельности компании за прошедший квартал).

Сначала главные финансовые показатели квартала (как известно, Apple прекратила раскрывать количество проданных единиц своих устройств). Общая выручка составила 58 млрд долларов, что на 5% ниже по сравнению с годом ранее, когда была зафиксирована выручка в объеме 61,1 млрд долл.
Из этих 58 млрд:
– $31,05 млрд: iPhone
– $11.45 млрд: Сервисы (новый рекорд)
– $5,51 млрд: Мак
– $5,13 млрд: Носимая электроника, электроника для дома и аксессуары
– $4.87 млрд: iPad

На следующий квартал Apple прогнозирует выручку в объеме между 52,5 и 53,5 млрд долл (годом ранее выручка составила 53,3 млрд). Похоже, что маховик сервисов набирает обороты и дальнейшее снижение выручки прекращается. Уже все не так ужасно, как в предыдущем квартале, после которого в этом периоде действительно ожидалась некая стабилизация. Интересно, что обычно июньский квартал показывал снижение против мартовского на 15%, а в этом году Apple прогнозирует снижение всего лишь на 8%

Вот как на эти новости отреагировал рынок — акции компании выросли на 5% на торгах после закрытия рынка:

Continue reading

Apple vs мониторилки использования смартфонов

Пару недель назад я писал о том, как Лаборатория Касперского подала жалобу против Apple по поводу блокировки апдейтов для их приложения по мониторингу активности детей. Я там подробно разобрал и сам пост ЛК, и технические ограничения самой iOS, которые требуют определенных приседаний для того, чтобы такие приложения вообще работали (и как эти приседания, вероятней всего, нарушают требования Apple к мобильным приложениям в iOS).

На прошлой неделе к этой теме еще подключилась The New York Times, опубликовавшая материал на эту тему, в котором тоже активно педалируется месседж, что Apple ограничивает приложения сторонних разработчиков в пользу функции Screen Time в iOS 12. Статья изобилует цитатами разработчиков, которые жалуются, что их приложения начали блокировать с бухты-барахты, без всяких предупреждений. Вся эта активность привела к тому, что Фил Шиллер, вице-президент Apple по продуктовому маркетингу ответил в письме одному из пользователей, в котором описал позицию компании и отметил, что статья в NYT подала информацию только с одной стороны, не озвучив позицию компании полностью.
Continue reading

Бурление вокруг eSIM

В последние пару недель я заметил почему-то обилие материалов в российских СМИ по поводу SIM-карт в целом, и eSIM в частности. Подозреваю, российские операторы пытаются расшевелить тему с одной стороны, а с другой стороны есть силы, которые пытаются форсить тему криптографии в SIM-картах, вот эти материалы и всплывают:

Например, материал у РБК о подготовке перехода на новые SIM-карты:

Сотовые операторы начали переход на отечественную связь Идет подготовка к выдаче абонентам сим-карт с российской криптографией

Или странный материал у того же РБК о том, что операторы(!) почему-то сопротивляются внедрению eSIM:

Операторы связи и ФСБ выступили против используемой в iPhone технологии

А ещё обратный материал у Ведомостей (paywall) о том, что операторы вроде бы как раз и не против eSIM:

Российские операторы сотовой связи не реагируют на возражения ФСБ
Некоторые из них готовятся к внедрению технологии eSim, хотя спецслужба выступает против нее

Continue reading

Cybersecus дайджест #68

Много новостей одной строкой (вот что бывает, когда пропускаешь день апдейтов, а опасносте не ждут).

Исследователи обнаружили уязвимость в драйвере Huawei для компьютеров Windows, дающую возможность злоумышленникам получить полный контроль над компьютером (исправлена в январе)
https://www.zdnet.com/article/microsoft-windows-10-devices-open-to-full-compromise-from-huawei-pc-driver/

Кстати, о Huawei. Большой отчет британского государственного агентства по кибербезопасности, исследовавшей риски в случае применения оборудования Huawei в критических компонентах национальной инфраструктуры. Прямых доказательств шпионажа в пользу другого государства в результате исследований обнаружено не было, но были обнаружены другие серьезные уязвимости, которые могут дать возможность злоумышленникам получить доступ к пользовательским данным или изменить конфигурацию сетевых компонентов.
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf
Тут статья с разбором одной такой уязвимости:
https://www.theregister.co.uk/2019/03/28/huawei_mirai_router_vulnerability/

В Израиле, кажется, взялись за технологические компании, занимающиеся ПО для различных видов “цифровой разведки”. В частности, одна из компаний, у которой отозвали лицензию на экспорт ПО, Ability, известна тем, что продает решения для эксплуатации уязвимостей в системе SS7, позволяющей перехватывать телефоны в мобильных сетях, не взламывая их.
https://www.timesofisrael.com/defense-ministry-rebukes-israeli-spy-tech-company-for-unlawful-exports/
В то же время другая израильская компания, NSO, продававшая свое вредоносное ПО различным диктаторским режимам, активно занялась отмыванием своего имиджа
https://motherboard.vice.com/en_us/article/qvy97x/israeli-nso-group-marketing-pr-push

Китайская сеть Rela — популярное приложение для знакомств лесбиянок — раскрыло данные на 5 миллионов пользователей, потому что у сервера не было защиты паролем.
https://techcrunch.com/2019/03/27/rela-data-exposed/

В какой-то мере новость на близкую тему. Популярная сеть для знакомств геев Grindr в свое время была продана китайским владельцам (компании Beijing Kunlun Tech Co Ltd). Теперь Комитет по зарубежным инвестициям в США (CFIUS) требует от китайских владельцев продать приложение, потому что “китайское владение этим сервисом представляет собой риск для национальной безопасности”. ШТОВООБЩЕ? (к сожалению, каким именно образом это риск для национальной безопасности, в статье не раскрывается).
https://www.reuters.com/article/us-grindr-m-a-exclusive/exclusive-us-pushes-chinese-owner-of-grindr-to-divest-the-dating-app-sources-idUSKCN1R809L

Apple недавно выпустила обновления для своих операционных систем, и, как обычно, опубликовала информацию о содержимом исправлений безопасности в этих обновлениях. В iOS 12.2 более 50 различных фиксов!
iOS 12.2 https://support.apple.com/en-us/HT209599
tvOS 12.2 https://support.apple.com/kb/HT209601
macOS 10.14.4 (и апдейты для High Sierra и Sierra) https://support.apple.com/kb/HT209600
watchOS 5.2 https://support.apple.com/en-us/HT209602

О сервисах, которые анонсировала Apple

Вчера было очень необычное мероприятие Apple, и когда я говорю “необычное”, я скорее имею в виду “странное”, чем “волнующее”. С одной стороны, совершенно очевидно, что в эпоху закончившегося безумного роста продаж iPhone “сервисы всякие нужны, сервисы разные нужны”. С другой стороны, вчерашний анонс был в основном именно анонсом (а не релизом), и большинство анонсированных сервисов не будут доступны в ближайшее время. На многие вопросы, возникшие еще до мероприятия (машина Apple по раскрутке хайпа и наличие сторонних партнеров позволило утечь большей части информации о том, что анонсировали), остались без ответа. Да и вообще как-то все то действо, происходившее на сцене, сильно выбивалось из духа обычных презентаций Apple.

Интересно еще и то, что часть сервисов, анонсированных вчера, либо актуальны только для пользователей в США, либо какое-то еще время будут доступны только в США и паре других стран. Что объясняет разочарование некоторых: “Вроде бы ничего не показали”. Зато это дает возможность другим компаниям попробовать скопировать и запустить что-то подобное на локальных рынках, куда Apple пока не дотянулась. В любом случае, пройдемся по тому, что же вчера показала Apple, и как это вписывается в то, что уже есть на рынке США. В данном случае моя перспектива с взглядом отсюда может оказаться полезной.
Continue reading

Apple Card

На прошедшем вчера анонсе Apple рассказала о неком повороте компании в банковскую сферу, в частности анонсировав кредитную карту, выпускаемую совместно с MasterCard и Goldman Sachs. Карта представляет собой, по сути, виртуальную карту в приложении Wallet и работающую через Apple Pay. Система позволяет видеть на телефоне все транзакции в читаемом виде, получать ежедневно начисляемый возврат по всем покупкам в размере 2% (3% от покупок в Apple), а также в удобном и понятном виде будет обеспечивать возможность оплаты долга по карте, показывая переплату по процентам в разных кейсах. Поддержка по карте будет предоставляться по чату Messages. Доступна карта будет только в США летом этого года.


Continue reading

Cybersecus дайжест #66

Кроме Facebook, новостями нас радуют многие другие компании и продукты.

Microsoft выпустила для macOS Microsoft Defender Advanced Threat Protection (ATP). Раньше он назывался Windows Defender ATP, но с выходом версии для Маков сделали более универсальное название. Продукт на данный момент предназначен для корпоративных пользователей Office 365.
Подавать заявки на участие в испытаниях можно сюда
https://www.microsoft.com/en-us/wdsi/support/macpreviewsignup
https://www.theverge.com/2019/3/21/18275443/microsoft-defender-atp-mac-support

Creepy история из Кореи, где арестовали двух перцев, установивших втихаря камеры в гостиницах, и организовавших стриминг видео из номеров. Пострадали, по некоторым оценкам, 1600 человек, которые попали в стримы. Стримы смотрели на сайте, у которого около 4 тысяч подписчиков, плативших 45 долларов в месяц за возможность доступа к контенту.
http://www.koreaherald.com/view.php?ud=20190320000610

Уязвимости:
– Критичная уязвимость в Chromium, позволяющая воровать конфиденциальные персональные данные (исправлена)
https://www.ptsecurity.com/ww-en/about/news/high-risk-vulnerability-in-android-devices-discovered-by-positive-technologies/

– На Pwn2Own показали две уязвимости в Safari, включая такую, которая позволяет получить полный контроль над компьютером (там же по ссылке – дыры в VirtualBox, VMware Workstation)
https://www.thezdi.com/blog/2019/3/20/pwn2own-vancouver-2019-day-one-results

– Уязвимости нулевого дня в WordPress
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

Многолетняя уязвимость в Android и проблемы фрагментации платформы
https://www.wired.com/story/android-vulnerability-five-years-fragmentation/

Уязвимости в популярном SSH клиенте PuTTY
https://www.theregister.co.uk/2019/03/19/putty_patched_rsa_key_exchange_vuln/

Еще ссылка от читателя про интересную “пасхалку” в Android
https://m.habr.com/ru/post/442872/