Чехарда апдейтов Apple

Что-то в этом году с обновлениями операционных систем у Apple сильно пошло не так. Обычно после анонса новых моделей iPhone в сентябре мы практически сразу получали обновления iOS/watchOS/tvOS, и довольно близко за ними шел релиз операционной системы для Маков. Потом, конечно, были и последующие обновления с исправлениями ошибок, новыми функциями и новыми ошибками, но в основном последовательность релизов оставалась такой на протяжении нескольких лет.

Еще за время тестирования бета-версией iOS 13 и macOS 10.15 Catalina (кстати, интересно, почему у macOS кодовое имя используется для маркетинга, а у iOS они остаются скрытыми?) я заметил довольно основательную “сырость” бета версий. Кроме того, от бета-версии к бета-версии появлялись новые фичи, а стабильность периодически даже ухудшалась. С iCloud и синхронизацией данных между устройствами происходило вообще что-то невероятное, и если почитать в интернете, можно найти немало жалоб на то, что многие первопроходимцы бета-версий вообще потеряли свои данные, которые хранились в облаке.
Continue reading

Впечатления после WWDC2019 – iPadOS

Поскольку позавчера публичные беты iOS 13/iPadOS/macOS 10.15 начали раздавать всем желающим станцевать на граблях багов, расскажу свои впечатления от iPadOS (забавно, что она без номера). Тем более, что она была у меня установлена на iPad mini 5 с первого дня анонса, на iPad Pro 10.5 примерно дней 10, и какие-то мысли уже накопились.

Анонс iPadOS, с одной стороны, оказался одним из самых больших сюрпризов конференции, а с другой — вполне закономерным развитием тех шагов, которые предпринимала Apple для модификации операционной системы iOS для своих планшетов. Достаточно вспомнить тот задел по многозадачности (хотя, точнее было бы сказать “несколькозадачности”), который внедрила Apple в iOS пару лет назад. Apple давно и упорно продвигает тему iPad как современную альтернативу компьютеру, так что это был вопрос времени — выделения системы для планшетов в отдельную ветку. Меня этот анонс порадовал едва ли не больше всего, поскольку я достаточно много пользуюсь iPad, и в ограничения системы я периодически упираюсь. Забегая вперед, сразу спойлерну, что iPadOS эти ограничения не снимает, и не факт, что когда-либо снимет — парадигма платформы другая. Однако, развитие системы движет её в направлении снижения фрикций при использовании.
Continue reading

Впечатления от WWDC2019 – iOS 13

Продолжаю описывать то, что я узнал во время WWDC о новых продуктах Apple на основе кейноута, других сессий для разработчиков и обсуждений с людьми, которые знают больше, чем я. В этой заметке я собирался проанализировать новости об iOS, включая разделение операционной системы на “для смартфонов” и “для планшетов” (я уже писал раньше про tvOS и watchOS), но что-то пошло не так.

Изменений в iOS 13 даже с пользовательской стороны столько, что по масштабности я бы сравнил это обновление с версией iOS 7, представленной в 2013 году. Тогда, как помнят старожилы, Apple перешла в интерфейсе от скевоморфизма к более сдержанному и “плоскому” дизайну, и подгораниями у критиков по поводу этих изменений какое-то время можно было обогреть достаточно большой мегаполис. Существенные изменения в интерфейсе iOS 13 увеличивают сходство с тем периодом. Темная тема, новые способы отображения контента в специальных карточках, методы взаимодействия с этим карточками, новые визуальные элементы интерфейса, новая цветовая гамма для визуальных элементов — это основательные изменения в операционной системе, которые заметят все пользователи. Сторонним разработчикам займет какое-то время подтянуться за этими изменениями, но сессия про обновления интерфейса приложений для iOS 13 показалась мне одной из самых интересных на WWDC. Темная тема на любителя, хотя мне она в некоторых сценариях использования пригодится. Важно помнить заветы Джобса, что дизайн — это не просто то, как что-то выглядит, а то, как это работает. За кажущимися небольшими визуальными изменениями стоит гораздо больше, чем просто подсветка кнопок.

Главная инновация же, конечно, новый индикатор громкости – наконец-то не перекрывает пол-экрана, рисуется аккуратно сверху, и его еще пальцем можно регулировать! Много ли пользователю iPhone надо для счастья?


Continue reading

Cybersecus дайджест #73

1. Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

2. Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research

3. Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater

4. А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:

Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.

Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.

https://www.miamiherald.com/news/politics-government/article228963409.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Karma is a bitch

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.
Continue reading

Проверка имейла на утечки через Shortcuts

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

“Удаленные” с iPhone данные

На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.

Есть версия, что эти данные были вынуты из iPhone с помощью “коробочки” для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.

Безопасность iOS 12

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений, касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек, валящих iPhone даже на iOS 12).
Continue reading

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах
Continue reading