Защита персональной информации в iOS 14.3

16 декабря, 2020, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

В iOS 14 произошли серьёзные изменения, касающиеся защиты персональной информации пользователей. Эти изменения укладываются в общую тенденцию по защите приватности. В то же время часть изменений, анонсированных в первых сборках iOS 14, появилась лишь в недавно вышедшей iOS 14.3, а некоторые не были реализованы до сих пор. В этой статье мы рассмотрим самые важные изменения, произошедшие в iOS 14.0 – 14.3 в области защиты персональных данных.

Приблизительное местонахождение

Начнём обзор с тех изменений, которые вошли в официальную версию iOS 14.0.

Вероятно, самым интересным нововведением в iOS 14 является ограничение на доступ к данным к точному местоположению пользователя. Приложениям, которые пытаются отслеживать местоположение пользователя, теперь можно несколько ограничить доступ без потери функциональности, разрешив таким приложениям доступ к приблизительному местоположению вместо точного. Насколько «приблизительному»? На WWDC 2020 говорилось о площади порядка 10 квадратных миль, что соответствует кругу с приблизительно трёхкилометровым радиусом.

Почему этому придаётся такое значение? Не секрет, что многие разработчики приложений и игр (особенно – бесплатных) собирают максимум доступной информации о пользователе с целью её последующей перепродажи. Для этого используются как программные средства собственной разработки (например, Rovio), так и стандартизованные SDK (например, те, которые поставляют Facebook, Google и несколько других компаний-медиаторов). В созданный профиль в числе прочего включаются и данные о точном местоположении пользователя, если пользователь согласился предоставить доступ к локации. Такой доступ пользователи часто предоставляют даже таким приложениям, как Microsoft OneDrive, не говоря уже о прогнозе погоды или приложений для покупки билетов. Многие пользователи готовы предоставить самые невероятные права даже калькулятору, казуальной игре или сторонней клавиатуре.

Использование встроенных SDK для слежки за пользователем в единственном приложении не даст разработчику SDK большого массива данных: iOS и в предыдущих версиях ограничивает частоту опроса датчиков местоположения фоновыми процессами. В то же время приложений у пользователя может быть установлено множество, и в большинстве из них будет встроено несколько «шпионских» SDK одних и тех же производителей (от Facebook до компаний, названия которых обычному пользователю незнакомы). В результате постоянные опросы датчиков местоположения множеством приложений с одними и теми же SDK дают достаточно чёткую и подробную картину передвижений пользователя.

В Apple утверждают, что приложениям с местными новостями или прогнозом погоды достаточно огрублённых данных. С нашей точки зрения разработчики Apple совершенно правы; более того, данные приблизительного местонахождения можно огрубить ещё сильнее без потери в точности прогноза погоды или местных новостей.

Как отреагировали производители «шпионских» SDK? С их точки зрения приблизительное местоположение лишь немногим лучше полного запрета доступа к данным геолокации: и Facebook, и Google, и многие другие медиаторы способны вычислить приблизительное местонахождение пользователя по одному лишь IP адресу.

Ограниченный доступ к медиатеке

В iOS 14 пользователь сможет ограничить доступ приложений к медиатеке. Если в предыдущих версиях iOS доступ к медиа-файлам выдавался приложениям по принципу «всё или ничего», то теперь пользователь может как выдать приложению доступ ко всей медиатеке (например, для приложений Dropbox, OneDrive, которые должны синхронизировать все фотографии с облаком), либо только к отдельным снимкам. Доступ к отдельным снимкам полезен, если всё, что пользователю нужно – это послать в чат конкретную фотографию или отредактировать снимок в «интеллектуальном» редакторе.

В первую очередь от нововведения пострадают компании, создающие профили пользователей по всему массиву доступных данных; во вторую – приложения, вольно обращающиеся с персональными данными. Выиграют же от этого простые пользователи, у которых появится лишний инструмент, позволяющий проконтролировать возможные каналы утечек приватных фото и видео.

Впрочем, на эту новость приходится и другая: ещё в начале года Apple внедрили практику сканирования фотографий пользователей, которые попадают в iCloud. Отметим, что Microsoft, Google, Verizon, Twitter, Facebook и Yahoo точно так же сканируют попавшие к ним в облако фотографии в поисках компрометирующих материалов. Так, в отчёте Facebook transparency report за ноябрь 2020 отмечается сорокапроцентный рост ограничений, основанных на местных законах; в предыдущих отчётах приводилась цифра в 84 миллиона нелегальных фотографий и видеороликов.

Исправлена проблема с конфиденциальностью буфера обмена

На главной странице, посвящённой новой версии iOS, не говорится о замеченной в предыдущих версиях системы проблеме с конфиденциальностью буфера обмена. Напомню, речь идёт о проблеме, обнаруженной в начале года исследователями безопасности Талал Хай Бакри (Talal Haj Bakry) и Томми Миск (Tommy Mysk). В исследовании говорится о 53 приложениях для iOS, в том числе социальной сети TikTok, которые постоянно отслеживают содержимое буфера обмена без какой-либо явной причины.

Интересен и такой момент: расположенные поблизости (на расстоянии порядка трёх метров) устройства, использующие одну учётную запись Apple ID, могут иметь универсальный буфер обмена, даже если одно из этих устройств – компьютер под управлением macOS.

В буфер обмена могут попадать такие данные, как одноразовые пароли двухфакторной аутентификации, ссылки, адреса, поисковые запросы и многие другие вещи, которыми пользователь не готов поделиться с владельцами Tik Tok, LinkedIn и подобных приложений.

В Apple проблему не признали: с точки зрения идеологии iOS общий буфер обмена и должен быть доступен для всех приложений в системе без каких-либо дополнительных разрешений. В iOS 14, тем не менее, были внесены изменения, рекомендованные специалистами безопасности. Теперь система выводит небольшой баннер, уведомляющий о том, что приложение считывает содержимое буфера обмена.

Такое количество баннеров, всплывающих в верхней части экрана, будет раздражать пользователей, а отключить их невозможно: в iOS не предусмотрено специального разрешения для доступа к буферу обмена. Поможет здесь либо отказ от использования подозрительных приложений, постоянно считывающих содержимое буфера обмена, либо использование разработчиками приложений нового API, появившегося в iOS 14. Новый API позволяет приложению узнать тип текстовых данных, которые содержит буфер обмена, без доступа к содержимому. В частности, приложения, которые сканируют буфер обмена в поисках ссылок на веб-сайты, смогут узнать, содержится ли в буфере URL или нет. Таким образом, количество срабатываний (и, соответственно, баннеров-уведомлений) будет постепенно уменьшаться по мере того, как разработчики будут обновлять приложения.

Появление нового механизма показывает реакцию компании на проблему, которую сложно решить исключительно с помощью технологических ограничений без создания неудобств для пользователей. С нашей точки зрения, решение Apple является оптимальным. С одной стороны, компания приняла меры. С другой – компания не позволит пользователям игнорировать проблему, в то же время предоставив разработчикам приложений необходимые инструменты и мотивацию для исправления приложений.

Индикаторы микрофона и камеры

Пользователи iOS 14 обратили внимание на точки-индикаторы, появляющиеся в верхней части экрана при использовании камеры или микрофона. Оранжевый индикатор показывает, что включён микрофон, а зелёный – что работает камера.

У индикации есть важное исключение: оранжевая точка не выводится при работе Siri, ожидающей кодового слова-активатора. Впрочем, это достаточно логично: если включить фоновую работу Siri, то оранжевый индикатор горел бы постоянно, лишая новую функцию всякого смысла.

Такая индикация вполне укладывается в современные тенденции. Так, во всех относительно свежих ноутбуках Macbook питание микрофона физически прерывается при закрытии крышки, а производители «умных» устройств (к примеру, Google Nest Hub Max или новый Facebook Portal) встраивают физические переключатели, позволяющие отрезать питание камеры и микрофонов. В отличие от всплывающих баннеров доступа к буферу обмена, цветные точки не будут раздражать пользователей. Идеальным же решением мог бы стать цветной светодиодный индикатор, которые, к сожалению, так не любит Apple.

Более активное продвижение авторизации через «Вход с Apple»

«Вход с Apple» — очередная попытка создать унифицированный сервис авторизации, подобный решениям от Google, Facebook или Microsoft. В отличие от последних, реализация от Apple обладает как преимуществами (для входа на каждый сайт или в приложение создаётся свой собственный уникальный адрес email, который блокируется при удалении аккаунта), так и недостатками (жёсткая привязка к экосистеме Apple). В iOS 14 Apple в очередной раз напоминает о возможности использовать «Вход с Apple» вместо логина и пароля и упрощает реализацию такого перехода для разработчиков приложений. В компании указывают на повышенный уровень безопасности и конфиденциальности в сравнении с использованием одного и того же адреса электронной почты и очередного пароля.

Использование централизованных систем авторизации – тема сложная и многогранная. Здесь отметим лишь тот факт, что универсальную авторизацию через собственные учётные записи предлагают и Google, и Facebook, и Microsoft, к которым у регуляторов ряда государств есть претензии, связанные с излишне вольным обращением с данными пользователей такуих «универсальных» учётных записей.

Локальное автозаполнение контактов

При заполнении стандартных полей в приложениях (имя, адрес и email) у пользователей iOS 14 не будет возникать необходимость «поделиться» контактом. Теперь достаточно просто ввести имя контакта из адресной книги, и система автоматически заполнит остальные поля. Автозаполнение работает локально на самом устройстве.

Локальное распознавание голосового ввода

Распознавание голосового ввода при диктовке с использованием стандартной клавиатуры теперь происходит локально, на самом устройстве. Несмотря на то, что надиктовывать текст можно почти на десятке языков, русский в этот список не входит. К слову, в iOS 13 режим офлайновой диктовки поддерживался для всех устройств (но только для английского языка), а новый режим «распознавания на устройстве», поддерживающий несколько языков, требует iPhone Xs или более новое устройство.

Поддержка носителей с шифрованием APFS

Появившееся в iOS 11 приложение «Файлы» получило новый функционал: теперь на устройствах с iOS поддерживаются внешние диски, использующие шифрование APFS. Для доступа к зашифрованному накопителю достаточно будет ввести пароль. Новая возможность будет полезна скорее пользователям моделей iPad, оборудованных портом USB Type-C.

Изменения в браузере Safari

Описанные выше нововведения касаются всех приложений, работающих в системе. Однако есть и несколько вещей, которые затронут пользователей встроенного в iOS браузера Safari.

Safari: отчёт о конфиденциальности

В Safari теперь можно узнать, как именно веб-сайты отслеживают поведение пользователя. Инструмент получился действительно интересный. Можно просмотреть информацию как по отдельному веб-сайту, так и по каждому конкретному трекеру, который пытается составить профиль пользователя, отслеживая открытые страницы. Подобного рода анализ ранее был доступен на некоторых платформах в сторонних приложениях для блокировки рекламы.

Это нововведение можно только приветствовать: оно позволит пользователям лучше осознать масштаб слежки.

Safari: проверка ненадёжных паролей

В Safari, как и во многих других браузерах, есть возможность сохранять и синхронизировать пароли к онлайновым ресурсам. В отличие от других браузеров, которые для хранения паролей используют отдельные базы данных, Safari обращается к системному хранилищу защищённых данных – Связке ключей. Именно в ней сохраняются пароли. За их синхронизацию отвечает Облачная связка ключей (iCloud Keychain).

Новая возможность, появившаяся в Safari, по сути, повторяет подобный функционал анализа паролей, которые хранятся в учётных записях Google. В реализации от Google пароли проверяются на надёжность и уникальность. По результатам проверки система сообщит о компрометации как конкретных учётных записей, так и о проблемах со слишком простыми или дублирующимися паролями. Google даже раскрывает список утечек, на которых основан анализ.

В iOS 14 похожий функционал появился и в Safari. В нём реализованы алгоритмы проверки сохранённых паролей, которые Apple сверяет со списками утечек. Из описания новой функции следует, что сверка происходит без передачи самих паролей – исключительно по их хэш-функциям.

iOS 14.3: личные данные в App Store

Следующие возможности были анонсированы в iOS 14, но в реальности появились значительно позже.

В iOS 14.3, вышедшей 14 декабря 2020, представлен новый механизм, позволяющий пользователям узнать, какие технологии защиты данных используются в каждом приложении из App Store. Открыв страницу приложения в App Store, пользователь может узнать, какую именно информацию собирает приложение, будь то данные местоположения, доступ к контактам или использование уникального рекламного идентификатора.

Разработчики должны самостоятельно публиковать сведения о своей политике конфиденциальности, в том числе объяснять, какие персональные данные они собирают и используют для отслеживания активности пользователей в других приложениях и веб-сайтах. Таким образом, эта возможность отличается от автоматического сканирования приложения на предмет запроса тех или иных разрешений, которая присутствовала и раньше.

Управление отслеживанием и прозрачность в приложениях

Если предыдущее нововведение уже внедрено в iOS 14.3, то со следующей возможностью ясности пока нет. Речь идёт об управлении со слежкой за пользователями посредством встраиваемых в приложения рекламных SDK – например, SDK от Facebook.

История борьбы Apple со слежкой со стороны Facebook и подобных компаний длится со времён iOS 11, в которой появился механизм Intelligent Tracking Prevention. Этот механизм ограничивал срок действия сторонних cookie 24 часами, удаляя все cookie для сайтов, которые пользователь не открывал в течение 30 дней. Спустя год в Safari появились всплывающие окна, предупреждающие пользователей о том, что facebook.com собирается установить cookie при нажатии на кнопку Like. С выходом iOS 13.4 сторонние cookie в Safari блокируются по умолчанию, предотвращая таким образом способ отслеживания, известный как “login fingerprinting”, не мешая при этом работать сайтам, использующим для входа механизм OAuth 2.0. Казалось бы, что может быть хуже и чем ещё Apple может досадить Facebook?

Оказалось, что может. Но «может» скорее технически, чем политически. Речь идёт о представленном, но до сих пор не реализованном и отложенном до лучших времён механизме, который не просто предупреждал бы пользователя о том, что то или иное приложение отслеживает его активность, но и требовал бы от разработчиков приложения предварительно спрашивать на это разрешение. Список приложений, которым пользователь позволил отслеживать свои данные, можно было бы просмотреть и изменить в Настройках.

Вот так выглядит сама настройка:

А так должен выглядеть запрос на отслеживание:

Источник: 9to5mac

С технической точки зрения, вероятно, речь идёт о запросе разрешения на доступ к уникальному рекламному идентификатору устройства (Identifier for Advertisers, или IDFA). Предполагалось, что в iOS 14 пользователь может или отключить IDFA совсем, или, если этого не произошло, контролировать, каким приложениям дозволено получать доступ к этому идентификатору. Однако, даже помимо IDFA, iOS 14 должна была требовать, чтобы приложения запрашивали разрешение на любой вид отслеживания или профилирования пользователя. И если Facebook нет необходимости делать это в собственном приложении (для этого достаточно и других механизмов), то сторонние разработчики, использующие Facebook Audience Network SDK, подпадали под новые ограничения. Мало того, что разработчикам пришлось бы спрашивать разрешение на слежку – многие пользователи с удивлением узнали бы о том, что за ними следят. После того, как разрешение на слежку попросил бы второй десяток приложений, пользователь мог и отключить рекламный идентификатор.

В Facebook предпочли бы, чтобы пользователи не задумывались о таких вещах. Jason Atin из inc.com полагает, что настоящая проблема Facebook – не в немедленном сокращении доходов, которое может возникнуть в результате отказа людей от отслеживания. Настоящая проблема, считает Jason, в том, что Apple ясно дала понять, что намерена приоткрыть завесу над тем, в какой степени такие компании, как Facebook, собирают и монетизируют все, что мы делаем в Интернете. «Сверхприбыльная бизнес-модель Facebook становится весьма шаткой, когда люди начинают понимать, какой массив информации собирает компания и как она монетизирует эту информацию. В итоге именно это и беспокоит Facebook в iOS 14 – новая версия системы даёт понять, что именно происходит с персональными данными пользователя, и даёт ему возможность отказаться.»

Реакция Facebook последовала незамедлительно:

«Нововведение в iOS 14 повлияет на способность рекламодателей точно настраивать таргетинг и профилировать рекламные кампании в Audience Network и во всех прочих рекламных сетях. В результате нужно ожидать, что возможности эффективной монетизации Audience Network снизятся». Всё настолько плохо, что «В конечном итоге, несмотря на все наши усилия, обновления Apple могут сделать Audience Network настолько неэффективной на iOS 14, что смысла предлагать её на iOS 14 не будет.» В конце своего заявления в Facebook мягко попеняли Apple, указав на необходимость проконсультироваться с крупными игроками прежде, чем посягать на их доходы.

К Facebook присоединились и другие рекламодатели, опасающиеся, что если пользователей спросить, то те могут и отказаться (дословно – «a high risk of user refusal»). Доводы представителей рекламной индустрии оказались убедительными: в Apple отложили нововведение, и теперь, по официальной информации, управление отслеживанием в приложениях станет обязательным требованием при обновлении ПО лишь в начале 2021 года.

Заключение

В очередной версии iOS появились очередные механизмы для защиты приватности пользователей. Заметная часть этих механизмов – реакция Apple на открывшиеся обстоятельства или собственная реализация имеющихся у конкурентов аналогов. Однако некоторые действительно новые и интересные механизмы всё-таки появились. К сожалению, та часть механизмов, которая должна была ограничивать возможность приложений следить за пользователем посредством рекламных SDK, в систему так и не вошли: прогресс в этом направлении, если он будет, мы увидим не раньше следующего года.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
НАШИ НОВОСТИ