Epic против Apple

(Этот текст был написан для Meduza, и с редакторскими правками опубликован тут. Ниже оригинальный текст).
——————————————-
Последнюю неделю в компьютерной отрасли развивается, возможно, одна из самых эпичных (сложно было удержаться от каламбура) битв этого года.

Компания Epic, разработчик популярнейшей игры Fortnite, публикует свою игру на различных платформах, включая Apple App Store для смартфонов iPhone и планшетов iPad. Игра предполагает покупку игроками различных элементов (одежда, танцевальные движения, и тд) за виртуальную валюту, которую в свою очередь игроки должны покупать за реальные деньги. При покупке виртуальной валюты на мобильных устройствах согласно правилам, установленным на этих платформах (App Store, Google Play) разработчики должны отчислять «хозяевам» платформ 30% от суммы покупок. Так прописано в правилах работы разработчиков в мобильных магазинах, где указано, что все внутриигровые покупки должны совершаться с помощью встроенных инструментов, предлагаемых Apple или Google, и разработчики не могут открыто предлагать альтернативные методы оплаты. Исключения касаются покупки физических товаров и некоторых других категорий товаров. (В случае с Android ситуация немного проще, потому что приложение можно установить, минуя Google Play, что в своё время и сделала Epic, громко хлопнув дверью и удалив приложение из Google Play. Правда, потом вернула).
Continue reading

Apple App Store, лучшее из избранного 2019

Как и в прошлом году (и в предыдущие годы до этого), в декабре Apple анонсирует лучшие, по мнению компании, приложения и игры для iPhone, iPad, Apple TV и компьютеров Mac. Отношения Apple с разработчиками сложно назвать простыми: во-первых, компания контролирует платформу распространения для этих приложений. Во-вторых, компания контролирует возможности системных вызовов, которые доступны из системы сторонним разработчикам. В-третьих, компанию неоднократно обвиняли в том, что она для новой функциональности часто «вдохновляется» популярными сторонними приложениями на своих платформах. Для этого есть даже специальный термин «sherlocked», когда Apple еще во времена классической Mac OS во многом повторила для своего системного приложения Sherlock функциональность сторонней программы. (Это, кстати, тема, заслуживающая отдельного обсуждения: как компании добавлять новую функциональность, не наступая на ноги другим разработчикам для этой платформы. Когда-нибудь я доберусь и до нее).

Так что один из методов того, как компания может отблагодарить разработчиков приложений для платформ Apple — проводить специальные анонсы, на которых есть возможность продвигать действительно качественные и инновационные программы, появившиеся для устройств Apple за прошедший год. Приложения, попадающие в эти списки, традиционно демонстрируют технологии, в которые активно инвестирует Apple, и которые компания продвигает для пользователей. (Бесплатный совет разработчиками: внимательно следите за всеми новинками, которые Apple показывает на WWDC. Применение этих технологий в своих приложениях существенно повышает шансы приложения быть замеченным редакторской командой Apple). Здорово то, что в эти списки попадают не только популярные приложения, но и «самородки», которые нравятся Apple, но почему-то не были замечены пользователями (что в целом неудивительно, учитывая количество приложений в App Store). Команда редакторов находит разработчиков по всему миру и помогает их приложениям и играм найти глобальную аудиторию.
Continue reading

Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах
Continue reading

Удалить нельзя заблокировать

К этому моменту вы уже наверняка из каждого утюга услышали новость о том, что РосКомНадзор потребовал от Apple удалить приложение Telegram из App Store:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим вас в кратчайшие сроки проинформировать нас о дальнейших действиях компании, направленных на решение данных проблемных вопросов», говорится в письме РКН. То есть речь уже не просто о требовании убрать приложение, но и об открытом шантаже: «если вы не уберёте приложение, мы вам отключим газ».
Тут столько всего интересного, что я даже не знаю, с чего начать. Можно начать с того, что это уже повторное обращение РКН к Apple – говорилось, что ещё 17 апреля РКН направил письмо в Apple и Google ограничить доступность приложения Telegram для России, но как-то что-то ничего не поменялось.
Continue reading

Писать или не писать, вот в чем вопрос (мобильное приложение)

Если вы вдруг прочитали не с ударением на “писАть”, то рискну предположить, что вы ошиблись ресурсом. Для всех же остальных, в рамках потенциального пятничного “розжыга”, небольшая заметка, которую я недавно по просьбе нашего PR написал для одного журнала. Изначально вопрос звучал так:

Business Fun (русский) нужен комментарий на тему, с какой версии лучше начинать мобильное приложение, с iOS или с Android. Там нужно расписать плюсы-минусы, сложности и подводные камни для каждой платформы.

И тут почему-то я решил подумать “outside of the box”, поэтому в итоге комментарий получился слишком развернутый, и не только в том плане, что слишком большой, но и в том плане, что немного развернулся не в ту сторону. В общем, вы почитайте и скажите, что вы думаете по этому поводу.
——————
Я хотел начать с какой-нибудь наверняка уже набившей оскомину шутки про Android, но это было бы слишком предсказуемо. В этот раз все серьезно.
Continue reading

Цены в App Store — анализ

Самой горячей темой вчерашнего дня (судя по количеству СМИ, обратившихся за комментариями по этому поводу) стало так называемое “повышение цен в App Store”. Ко-ко-ко по этому поводу, причем с лозунгами из серии “ЭПЛ ПОВЫШАЕТ ЦЕНЫ!!!”, раздавалось на весь интернет из традиционных “блогов”, которые давно превратились в кликогенерящие псевдоновостные ресурсы.
При этом многие из авторов подобного “ко-ко-ко”, естественно, в глаза никогда не видели iTunes Connect и не сильно представляют себе вопрос ценообразования мобильных приложений, поэтому на выходе получалась обычно совершенно глупая фигня. Давайте разберемся по порядку и поймем, что же на самом деле произошло и что это может означать для цен на приложения в будущем.
iTunes Connect — это основной интерфейс разработчика с iTunes (App) Store. Это портал, куда загружаются приложения, подаваемые на рассмотрение Apple, где прописывается описание приложения и ключевые поисковые термины для него, загружается соответствующий арт для App Store, а также, что немаловажно, именно там разработчик (обратите внимание — разработчик, а не Apple) устанавливает цену для своего приложения. А если приложение бесплатное, но с элементами покупок внутри этого приложения — то и цену этих элементов.
Continue reading

Возврат денег в App Store

На прошлой неделе я провернул эту операцию в App Store — вернул деньги за приложение, которое мне не подошло, и поделился этим в Твиттере. Судя по ответам, которые я получил, многие из вас знают об этой процедуре, но еще больше людей оказались не в курсе и просили рассказать, как это сделать, что я с радостью и выполняю.
Как таковой процедуры возврата денег в App Store не существует, так как условия работы с магазином iTunes (частью которого является и App Store) гласят, что все продажи являются конечными — “All sales and rentals of products are final.” Это означает, формально получить деньги обратно нельзя. И в условиях, когда App Store забит бесплатными приложениями с функцией in-app purchase для покупки контента внутри приложения, это можно терпеть, но когда нужно воспользоваться платным приложением, разработчики которого не заморочились созданием Lite-версии, то начинаешь задумываться о том, что режим Trial мог бы и пригодиться в App Store. Наверно, нет же ничего сложного в том, чтобы прямо в App Store контролировался момент работы приложения — 7-15 дней — после которого приложение перестает запускаться без оплаты, но, видимо, у Apple другие приоритеты. Кто знает, может быть мы получим Trial в рамках iOS 7 и обновления магазина, но пока что в это не особо верится.
Continue reading