Новые изменения безопасности систем Apple

Posted on December 7, 2022 by alexmak

Apple сегодня анонсировала целый набор существенных изменений в различных системах, обеспечивающих безопасность своих операционных систем и облачного сервиса iCloud. Я, увлекаясь темой информационной безопасности как хобби, могу только поприветствовать такие изменения.

Основных изменений три:
– Проверка ключей контактов в iMessage
– Поддержка физических ключей безопасности для акаунтов Apple ID
– Дополнительные разделы iCloud, которые теперь будут зашифрованы сквозным шифрованием.

Проверка ключей контактов при обмене сообщений в iMessage важна для тех людей, кто может испытывать на себе чрезмерный интерес различных органов — от разведывательных до государственных, например, журналисты. В этом случае те пользователи, которые активировали iMessage Contact Key Verification, получат сообщения, если в переписке будет замечено неавторизованное устройство (например, злоумышленники взломали учетку одного из участников переписки и вошли в нее со своего устройства, что позволяет получать на это устройство сообщения из переписки).

Добавление поддержки аппаратных ключей для учеток iCloud вызывает только один вопрос: “Почему не раньше?”. Собственно, да, можно только добавить, что “наконец-то”. Будут поддерживаться сторонние ключи, подключающиеся по разъему, а так же и NFC.
Continue reading →

Дополнения по инициативе Apple по защите детей – разъяснения и ссылки

Posted on August 17, 2021 by alexmak

За прошедшее с последнего поста о борьбе Apple против контента с детским порно у меня накопилось какое-то количество полезных и интересных ссылок по поводу, поэтому сразу вывалю все в одном посте.

1. Мы записали в рамках подкаста Купертино выпуск, где как раз обсуждаем эту инициативу Apple, за и против, и потенциальные угрозы, которые могут от этого возникать
Видео
Аудио
Яндекс.Музыка
Google Podcast
Apple Music
(кроме этой темы, в подкасте есть еще много интересного контента про Car Play в Яндексе, редизайн Сафари и тд)

2. Крейг Федериги, главный в Apple по софту, дал интервью WSJ, в котором ответил на многие вопросы и дал разъяснение по поводу инициативы. Основное, что мы узнали из этого интервью — предел, после которого будет срабатывать алгоритм ручной проверки, составляет 30 изображений, хэш которых совпадет с уже известным CSAM. По мнению экспертов, такой высокий порог свидетельствует больше о желании ограничивать массовый общий доступ к фото, нежели поиск создателей такого контента.
Continue reading →

Новые инициативы Apple по защите детей и скользкий путь

Posted on August 8, 2021 by alexmak

Тема “безопасности детей”, анонсированная Apple на прошлой неделе, продолжает активно “бухтеть”, обрастая все новыми и новыми комментариями с самых разных сторон. Деталей тоже добавляется, даже таких, которых не было в моем первоначальном посте. Я не помню, чтобы в обсуждениях какой-либо темы сообщество инфосека настолько разделилось: противников и сторонников этих инициатив предостаточно, и у каждого полно самых разных аргументов. Для меня лично очень интересным стал комментарий Алекса Стамоса (бывший главный безопасник Facebook), который, я думаю, понимает масштабы и глубину ужасов с подобными материалами:

First off, a lot of security/privacy people are verbally rolling their eyes at the invocation of child safety as a reason for these changes. Don't do that.

The scale of abuse that happens to kids online and the impact on those families is unfathomable. https://t.co/qawUkqMAKB

— Alex Stamos (@alexstamos) August 7, 2021

Вся эта тема и обсуждения густо приправлены также недостатком информации (или мешаниной обрывков информации), поэтому я решил перевести один из лучших постов на эту тему у Джона Грубера. Он, как мне кажется, достаточно взвешенно озвучил “выгоду” от этих инициатив, не забыв также и об основной угрозе. Давненько я не переводил тексты, так что мой скилл мог вполне заржаветь, не судите строго.
———
Apple вчера анонсировала три новые инициативы “Безопасность детей”:

Первое: новые коммуникационные инструменты, которые помогут родителям быть более информированными и помогать детям справляться с онлайн-общением. Приложение Messages будет использовать машинное обучение на устройстве для предупреждений о “щекотливом” контенте (прим. пер.: тут я не смог придумать лучше альтернативу термину Sensitive, хотя понятно, о какого рода контенте идет речь), в то же время сохраняя частную переписку недоступной для Apple.

Continue reading →

Apple и изменения в обеспечении безопасности детей

Posted on August 5, 2021 by alexmak

Есть большая и интересная тема, которую вчера анонсировала Apple. Вся забота — о детях же, конечно!

Вообще речь идет о трех основных вещах:

1. В мессенджере Messages появится инструмент определения фотографий с сексуальным контентом, и он будет предупреждать детей и их родителей о получении такого рода контента. Анализ фото будет проводиться на устройстве, и по умолчанию такие фотографии будут замазываться. Работать эта функция будет только для детских аккаунтов, у пользователей до 13 лет (к тому же опционально). По-моему, супер-полезно, хотя кого-то от Messages и оттолкнет.

2. В Siri и поиске на устройствах появится дополнительная возможность узнать о том, как оставаться в безопасности в онлайне.

3. И самая главная фича, которая вызвала уже довольно сильное бурление в интернете: теперь на устройстве будет проводиться некий анализ фотографий на предмет наличия в них контента с насилием над детьми — Child Sexual Abuse Material (CSAM). На самом деле это будет не совсем анализ в привычном для нас виде, когда потом можно найти все фотографии котиков или автомобиля в фотобиблиотеке. Для анализа будет использоваться база хешей Национального Центра для пропавших и эксплуатируемых детей и других организаций (National Center for Missing and Exploited Children (NCMEC), и сравниваться будет именно совпадение хешей. Раньше подобный анализ проводился над фотографиями, залитыми в iCloud, а теперь он в каком-то виде будет проводиться на устройстве до заливки в iCloud и затем при заливке будут инициироваться дополнительные проверки.
Continue reading →

Блокировка трекеров и рекламы с помощью Pi-hole

Posted on February 4, 2021 by alexmak

После эксперимента с роутером ASUS и возвращением на mesh wifi NetGear мне захотелось сделать с домашней сетью что-нибудь еще. Конечно, до виртуальных локальных сетей и серверных шкафов домашней сети мне пока далеко, да и не очень хочется этим заниматься пока что, а вот какие-то базовые вещи вполне можно сделать.У ASUS там были кое-какие встроенные настройки для безопасности сети, есть что-то и у NetGear, но за них хотят отдельную подписку. Поэтому очевидной была идея улучшения безопасности сети, и в частности — добавления механизма предотвращения трекинга в интернете устройств, находящихся в локальной сети дома. Один из таких инструментов — это построение “черной дыры” запросов DNS.

Многие, если не все, слышали про расширения для браузеров, которые отрезают рекламу и трекеры за пользователями на отдельно взятом устройстве — телефоне или компьютере. “Черные дыры” по сути, позволяют делать то же самое, но на уровне локальной сети с помощью фильтрации запросов DNS. Все, что нужно для этого сделать — добавить в сеть специальное программное обеспечение, перехватывающее DNS-запросы. Когда пользователь вбивает адрес сайта в строку браузера, на сервер DNS уходит запрос о переводе URL в IP-адрес сайта, к которому надо подключиться. Фильтры, о которых речь пойдет ниже, умеют блокировать часть DNS-запросов по известным спискам, таким образом предотвращая загрузку контента из сети. В списках в данном случае содержатся доменные адреса различных рекламных сетей, трекеров, фишинговых и других вредоносных сайтов. Я попробовал пару таких решений — Pi-hole и AdGuard Home — и делюсь тем, что я об этом узнал, поскольку в твиттере получил много вопросов по этому поводу.
Continue reading →

О конфиденциальности данных

Posted on January 28, 2021 by alexmak

В рамках сегодняшнего “профессионального праздника” — Дня защиты данных — захотелось немного выговориться. Когда я запускал канал «Информация опасносте», я не очень представлял себе, во что же именно это выльется, и даже не очень понимал, зачем я это делал. Когда меня зовут, например, для какого-то комментария в СМИ, в описание про меня часто пишут «эксперт по кибербезопасности». Да какой я эксперт, людям сложно объяснить, что это просто хобби такое, и к экспертизе мало имеет отношения. На самом деле я считаю себя гораздо больше «активистом за защиту данных», просто в современном мире информационная безопасность очень часто приводит к раскрытию этих самых данных, нарушения конфиденциальности информации. Такое пересечение плоскостей.

Короче, в рамках тематики канала мне захотелось озвучить свою личную позицию по отношению к персональным данным, к сохранению личной тайны и проч. Надеюсь, что для кого-то этот небольшой пост может стать отправной точкой, чтобы уделять этому больше внимания.

Организация Объединённых Наций определяет, что конфиденциальность — это право человека, точно такое же, как право на образование. Зачем же от него добровольно отказываться? Вообще, мне очень нравится наличие четкого термина Privacy в английском языке, и некая размытость этого термина в русском. Вот словарь определяет термин Privacy как “the state or condition of being free from being observed or disturbed by other people”. А Google, Apple и другие компании используют для этого термин «Конфиденциальность», который, как мне кажется, больше ассоциируется с «секретными материалами», чем с сохранением и ограничением доступа к личной информации, о которой идёт речь в первую очередь, когда говорят о privacy.
Continue reading →

WWDC20 и изменения в защите данных пользователей

Posted on June 26, 2020 by alexmak

Конференция WWDC — это время не только анонсов новых версий операционных систем, но и (иногда) — смены процессорных архитектур, которых за историю Apple уже наберется приличное количество. Про переход на Arm (он же Apple silicon, он же “процессоры собственной разработки”) я особо не могу комментировать в связи с определенными обстоятельствами, но с удовольствием поговорю о тех изменениях защиты персональных данных, которые появятся уже в этом году для пользователей техники Apple.

Об одном из них я уже сегодня писал — про доступ сторонних приложений к буферу обмена в iOS14 и уведомлениям об этом, которые видит пользователей. Это изменение стало сюрпризом для некоторых разработчиков, и стало поводом для слухов о том, что все приложения пытаются украсть пользовательские данные, хотя реальность на самом деле не так ужасна. Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Еще в прошлом году компания Mysk опубликовала результаты исследования о том, как сторонние приложения могут читать содержимое буфера в iOS. Вот есть исследование на эту тему. Не удивлюсь, если именно это исследование стало толчком для этих изменений в iOS.
Continue reading →

Изменения безопасности в iOS 13

Posted on September 27, 2019 by alexmak

Пока многие из вас устанавливают iOS 13 (пишут, что уже более 20% пользователей iOS-устройств переехали на новую систему), и знакомятся с новыми возможностями системы (и новыми багами), я хочу поговорить о других, менее заметных изменениях в самой системе, чем, например, темная тема. Эти изменения касаются конфиденциальности и безопасности в первую очередь пользовательской информации. Apple традиционно говорит о том, что компания старается оберегать пользовательские данные от лишних посягательств, и в целом, с переменным успехом, это демонстрирует на деле.

Как минимум, с одним из этих «подкапотных» изменений пользователи iOS 13 уже могли столкнуться. В iOS 13 теперь приложения, которые используют для своей работы Bluetooth, должны получить соглашение пользователя на это. Я думаю, что многие удивились тому, для скольких приложений требуется использование BT, и задались вопросом «а зачем?». Важно понимать, что приложения, которые воспроизводят аудио в Bluetooth-наушники, например, в доступе к самому беспроводному интерфейсу не нуждаются. Грубо говоря, такие приложения говорят системе «я хочу проиграть аудио», и уже затем система направляет звук в тот выход, которым в данный момент пользуется владелец смартфона. Поэтому когда доступ к Bluetooth просит Spotify, очевидно, что кроме воспроизведения аудио, приложение хочет что-то делать еще через Bluetooth.
Continue reading →

Apple извинилась за Siri

Posted on August 28, 2019 by alexmak

Пару раз я уже писал про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:

– По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
– У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
– В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Continue reading →

Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Posted on August 8, 2019 by alexmak

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.