Новые возможности обеспечения конфиденциальности в системах Apple

Если вы не прилетели сегодня с Марса, то вы наверняка уже в курсе того, что на этой неделе проходит конференция разработчиков WWDC2021. На ней в понедельник Apple показала новые возможности операционных систем компании — iOS/iPadOS/macOS. Их на удивление в этом году очень много, списки новых возможностей для каждой системы просто огромные. (Мы вчера записывали новый выпуск подкаста Купертино, обсуждая анонсы WWDC, и как мы не старались, не смогли уложиться в полтора часа). В этом посте я не собираюсь рассказывать о всех новых возможностях, но расскажу о том, что мне понравилось больше всего — об обновлениях, которые улучшают конфиденциальность пользовательских данных. Как вы знаете, я эту тему люблю, и вообще одобряю всё, что эту самую конфиденциальность повышает. Там не все так просто и очевидно, но некоторые функции реально очень полезны и пригодятся многим, поэтому я хочу о них рассказать больше.

Защита от трекинга в интернете
В этом году Apple уже запустила в оборот функцию App Tracking Privacy, чем вызвала немало бурлений у Facebook и других рекламных агентств. (Там, напомню, речь идёт о том, что пользователь может запретить приложениям доступ к рекламному идентификатору устройства, что существенно усложняет связку различных активностей пользователей в сети и формирования его портрета). В iOS 15 появляются две очень полезные функции, которые еще больше затрудняют мониторинг активности пользователя.
Continue reading

Еще про “предустановку” приложений на iPhone в России

Чуть меньше месяца назад я написал в сердцах пост о том, как Apple “сдалась” закону «О защите прав потребителей», в 2019 году в который были внесены поправки о том, что на смартфонах и других устройствах, продаваемых в России, должно быть предустановлено ПО российских разработчиков. Тот пост был основан на предварительной информации и содержал некоторые неточности, которые я бы хотел уточнить отдельно.

Формально особо ничего не изменилось:
– я по-прежнему считаю саму законодательную инициативу глупой,
– и меня все еще расстраивает тот факт, что Apple пришлось хоть как-то на нее согласиться и пойти на поводу этих глупых требований,
– я все так же уверен, что подобные инициативы появятся и в других странах.

Но увидев вживую, как Apple реализовала этот экран, вынужден признать, что Apple смогла выкрутиться из существующей ситуации лучшим образом, даже сохранив при этом лицо. И в целом то решение, которое реализовала Apple, все-таки лучше, чем хлопать дверью и уходить с рынка. Надеюсь, этот шаг Apple оставила для более серьезных вопросов.
Continue reading

Чехарда апдейтов Apple

Что-то в этом году с обновлениями операционных систем у Apple сильно пошло не так. Обычно после анонса новых моделей iPhone в сентябре мы практически сразу получали обновления iOS/watchOS/tvOS, и довольно близко за ними шел релиз операционной системы для Маков. Потом, конечно, были и последующие обновления с исправлениями ошибок, новыми функциями и новыми ошибками, но в основном последовательность релизов оставалась такой на протяжении нескольких лет.

Еще за время тестирования бета-версией iOS 13 и macOS 10.15 Catalina (кстати, интересно, почему у macOS кодовое имя используется для маркетинга, а у iOS они остаются скрытыми?) я заметил довольно основательную “сырость” бета версий. Кроме того, от бета-версии к бета-версии появлялись новые фичи, а стабильность периодически даже ухудшалась. С iCloud и синхронизацией данных между устройствами происходило вообще что-то невероятное, и если почитать в интернете, можно найти немало жалоб на то, что многие первопроходимцы бета-версий вообще потеряли свои данные, которые хранились в облаке.
Continue reading

Впечатления после WWDC2019 – iPadOS

Поскольку позавчера публичные беты iOS 13/iPadOS/macOS 10.15 начали раздавать всем желающим станцевать на граблях багов, расскажу свои впечатления от iPadOS (забавно, что она без номера). Тем более, что она была у меня установлена на iPad mini 5 с первого дня анонса, на iPad Pro 10.5 примерно дней 10, и какие-то мысли уже накопились.

Анонс iPadOS, с одной стороны, оказался одним из самых больших сюрпризов конференции, а с другой — вполне закономерным развитием тех шагов, которые предпринимала Apple для модификации операционной системы iOS для своих планшетов. Достаточно вспомнить тот задел по многозадачности (хотя, точнее было бы сказать “несколькозадачности”), который внедрила Apple в iOS пару лет назад. Apple давно и упорно продвигает тему iPad как современную альтернативу компьютеру, так что это был вопрос времени — выделения системы для планшетов в отдельную ветку. Меня этот анонс порадовал едва ли не больше всего, поскольку я достаточно много пользуюсь iPad, и в ограничения системы я периодически упираюсь. Забегая вперед, сразу спойлерну, что iPadOS эти ограничения не снимает, и не факт, что когда-либо снимет — парадигма платформы другая. Однако, развитие системы движет её в направлении снижения фрикций при использовании.
Continue reading

Впечатления от WWDC2019 – iOS 13

Продолжаю описывать то, что я узнал во время WWDC о новых продуктах Apple на основе кейноута, других сессий для разработчиков и обсуждений с людьми, которые знают больше, чем я. В этой заметке я собирался проанализировать новости об iOS, включая разделение операционной системы на “для смартфонов” и “для планшетов” (я уже писал раньше про tvOS и watchOS), но что-то пошло не так.

Изменений в iOS 13 даже с пользовательской стороны столько, что по масштабности я бы сравнил это обновление с версией iOS 7, представленной в 2013 году. Тогда, как помнят старожилы, Apple перешла в интерфейсе от скевоморфизма к более сдержанному и “плоскому” дизайну, и подгораниями у критиков по поводу этих изменений какое-то время можно было обогреть достаточно большой мегаполис. Существенные изменения в интерфейсе iOS 13 увеличивают сходство с тем периодом. Темная тема, новые способы отображения контента в специальных карточках, методы взаимодействия с этим карточками, новые визуальные элементы интерфейса, новая цветовая гамма для визуальных элементов — это основательные изменения в операционной системе, которые заметят все пользователи. Сторонним разработчикам займет какое-то время подтянуться за этими изменениями, но сессия про обновления интерфейса приложений для iOS 13 показалась мне одной из самых интересных на WWDC. Темная тема на любителя, хотя мне она в некоторых сценариях использования пригодится. Важно помнить заветы Джобса, что дизайн — это не просто то, как что-то выглядит, а то, как это работает. За кажущимися небольшими визуальными изменениями стоит гораздо больше, чем просто подсветка кнопок.

Главная инновация же, конечно, новый индикатор громкости – наконец-то не перекрывает пол-экрана, рисуется аккуратно сверху, и его еще пальцем можно регулировать! Много ли пользователю iPhone надо для счастья?


Continue reading

Cybersecus дайджест #73

1. Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

2. Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research

3. Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater

4. А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:

Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.

Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.

https://www.miamiherald.com/news/politics-government/article228963409.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Karma is a bitch

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.
Continue reading

Проверка имейла на утечки через Shortcuts

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

“Удаленные” с iPhone данные

На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.

Есть версия, что эти данные были вынуты из iPhone с помощью “коробочки” для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.