«Лаборатория Касперского» опубликовала блог, рассказав о том, что компания подала против Apple жалобу в «Федеральную антимонопольную службу» (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:

• У ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
• С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
• В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
• ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что – я так и не уловил четко это из статьи в блоге.

В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать «вырванные из текста и контекста» утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.

В прошлом году мы получили от Apple уведомление о том, что наше приложение Kaspersky Safe Kids для iOS не удовлетворяет требованиям пункта 2.5.1 правил для приложений, размещаемых в App Store. Раньше никаких вопросов к Kaspersky Safe Kids в этом плане у Apple не было – оно около трех лет размещалось в App Store и удовлетворяло всем условиям.

Выяснилось, что, по мнению Apple, использование конфигурационных профилей противоречит политике магазина App Store, и Apple потребовала их убрать, чтобы приложение прошло ревизию и могло быть размещено в магазине. Для нас это значило исключить из Kaspersky Safe Kids две основные функции: контроль приложений и блокировку браузера Safari.

Здесь, мне кажется, наблюдается некая подмена понятий. То, что приложение попадало ранее в App Store, необязательно гарантирует, что оно «удовлетворяло всем условиям». Людей, которые проверяют приложения, не так много, за день они должны проверить около 40 приложений, поэтому зачастую до тщательной проверки того, как работает приложение, у ревьюверов могут не доходить руки.

Пункт 2.5.1, кстати – это требование использовать только публичные API, а также использовать API и фреймворки только с той целью, для которой они предназначались изначально. Я подозреваю, что установка конфигурационных профилей, которые необходимы для работы приложения SafeKids, подпадает под пункт о некорректном использовании API и фреймворков. Конфигурационные профили используются в первую очередь для решений корпоративных систем управления устройствами (mobile device management – MDM). Поэтому использование SafeKids и подобными им приложениями профилей от MDM и VPN, а также доступ в фоне к информации о местоположении для реализации функциональности практически наверняка является реальным нарушением требований Apple. К тому же, если мне не изменяет память, для корректной работы этих конфигурационных профилей они должны генерироваться с использованием сертификата из аккаунта корпоративного разработчика. Напомню, что недавно Facebook и Google попали в неприятную историю с использованием корпоративных сертификатов разработчиков, и это чувствительная тема для Apple).

Стоит отметить, что такое изменение в политике Apple по отношению к нашему приложению и, по сути, ко всем разработчикам ПО для родительского контроля, произошло сразу после того, как компания из Купертино представила в iOS 12 собственную функцию Screen Time. Эта функция позволяет пользователям контролировать, сколько они проводят в тех или иных приложениях или на тех или иных сайтах и задавать ограничения по времени. В сущности, это собственное приложение для родительского контроля от Apple.

Безусловно, можно предположить, что Apple решила выпилить из App Store всех конкурентов новой функциональности Screen Time, как она это сделала со всеми сторонними почтовыми клиентами, браузерами, калькуляторами, приложениями для погоды… ой, нет, подождите, кажется, я что-то путаю. Как известно, корреляция – это одна из разновидностей связи, но ей совершенно необязательно быть причинно-следственной. Вполне можно допустить, что внедрив свою функциональность, Apple поняла, что сторонние приложения, которые тоже её реализуют, не могут этого делать без нарушения каких-то правил разработки, и начала уделять им больше внимания при проверке.

Управление возможностями iOS-устройств приложениями сторонних разработчиков – это весьма нетривиальная и совсем неочевидная часть функциональности SafeKids, для реализации которой нужны существенные приседания со стороны разработчиков. Более того, там весь этот workflow по «втягиванию» детских устройств под родительские, с установкой конфигурационных профилей – достаточно сложный, многошаговый и неочевидный, в котором создать нормальный пользовательский опыт практически невозможно (одна из причин, по которой мы в свое время забросили разработку похожего проекта). Еще одна из причин, кстати – это то, что даже тогда, несколько лет назад, уже было очевидно, что для потребительских приложений Apple будет все больше и больше отбирать возможности по управлению другими устройствами, фокусируясь на образовании и корпорациях. Честно говоря, я удивлен, что у ЛК хватило сил и терпения поддерживать это приложение три года.

Тем не менее, я считаю, что вот так однозначно приписывать решение Apple по блокировке решения ЛК только выпуском Screen Time – это скорее повод придраться к Apple, нежели действительно увидеть проблему. Которая заключается в том, что сама iOS и её закрытость не очень-то предназначена для того, чтобы сторонние разработчики туда лезли своими конфигурационными профайлами и начинали менять настройки и возможности системы.

Дальше, конечно, начинается классика про «владельца платформы, а также контролера единственного канала доставки приложений пользователям этой платформы, чтобы диктовать условия, не позволяя другим разработчикам выступать на равных». Я считал и считаю, что Apple, создавая платформу, имеет право контролировать, кто, что и как делает на этой платформе. Тем более в таких весьма вторгающихся в личную жизнь других людей сценариях, как слежение за детьми и их активностью (да и кто там разбирается, за детьми кто-то следит или, например, за перемещением и активностью супруга(и)). Железная рука рынка все отрегулирует: если пользователей, желающих контролировать своих детей таким образом, достаточно много, они уйдут на Android, в котором подобных ограничений меньше, и Apple со своим iPhone станет никому не нужна.

Устанавливая свои правила в отношении этого канала, компания транслирует свою рыночную власть и на другие смежные рынки – например, на рынок программного обеспечения для родительского контроля, на котором она только недавно вообще начала играть. И именно в этом распространении своего влияния за счет обладания так называемой ключевой мощностью на другие сегменты, которое приводит к ограничению и устранению конкуренции, мы видим признаки нарушения антимонопольного законодательства, заключающегося в создании барьеров и дискриминации нашего ПО.

Определенные опции родительского контроля в iOS присутствуют много лет, а новые возможности Screen Time добавили недавно, так как стало раздаваться все больше призывов о чрезмерной зависимости пользователей от смартфонов, о фокусе на «цифровом здоровье» и призывов к Apple сделать что-нибудь по этому поводу.

Как по мне, в целом это «влияние на рынок» – очень притянутый за уши аргумент. Называть Apple монополистом на рынке устройств iOS это как называть BMW монополистом на рынке автомобилей BMW. Если Apple считает, что подобные решения на её платформе не нужны, мне кажется, она вполне имеет право принимать те решения, которые считает нужным. Я бы тоже хотел, чтобы Apple была более открыта к разработчикам и их пожеланиям, но почему-то они меня не слушаются.

Проблема с запретом на использование конфигурационных профилей в той или иной мере коснулась не только нас, а вообще всех разработчиков приложений для родительского контроля. Впрочем, это и не единственная тема, по которой у разработчиков софта есть вопросы к Apple. Например, недавно жалобу в Еврокомиссию на Apple подала компания Spotify, которая также считает, что в Купертино используют положение монополиста для продвижения своих сервисов, не давая остальным шансов соревноваться на равных.

ЛК очень хочется, чтобы жалобу компании воспринимали на том же уровне, что и Spotify, у которой тоже созрела жалоба на Apple. Она, правда, касается совсем другой темы – оплат подписки и процентных сборов за платежи, проходящие через App Store. Напомню, что Apple собирает 30% с подписочных платежей в первый год и 15% в последующие периоды. Spotify считает, что предоставляя на своей платформе Apple Music, которой не нужно отдавать 15% отчислений в Apple, Apple находится в нечестном положении по отношению к Spotify. Определенное разумное зерно в этом есть, хотя ничего не останавливает пользователей от того, чтобы купить подписку на сайте Spotify и пользоваться ею в мобильном приложении на iOS. В этом месте, скорее, проблема в том, что разработчики не могут в своей программе сказать «вы также можете купить подписку на сайте по ссылке тут» – и сделать цену в самом приложении выше, например, чтобы компенсировать 15% сборов. Эту претензию Spotify я могу понять, хотя, опять же, Apple на своей платформе с 15% мировых пользователей смартфонов может устанавливать свои правила и сложно её называть монополистом при этом.

А, скажем, приложение для родительского контроля Kidslox все еще можно скачать из App Store, но обновления к нему не проходят ревизию Apple и поэтому не попадают в магазин приложений.

Может, мне кажется, но тут у Лаборатории Касперского почему-то получается такой смысл, что их приложение SafeKids убрали из App Store, хотя это не так, приложение все еще доступно (последний апдейт – 4 октября 2018 года).

Мы очень рассчитываем на то, что мы также сможем и дальше взаимовыгодно сотрудничать с Apple, и для этого нам необходимо создать условия, в которых «Лаборатория Касперского» и другие компании на равных конкурируют друг с другом. Сейчас условия явно отличаются – и поэтому мы обращаемся в ФАС.

Возможно, что в тексте жалобы к ФАС и перечислены требования ЛК к Apple, но из этой статьи я так и не понял, что же именно должна сделать Apple. Поскольку дальше идет текст о том, почему монополии – это плохо, и о том, что монополии нужно разделять и запрещать им размешать свои приложения на своих платформах, я делаю вывод, что жалоба в ФАС призывает, скорей всего, прямо к дроблению Apple на производителя iPhone, на разработчика iOS, на разработчика App Store, и на разработчика функции Screen Time. Так должно все получиться и заработать.

Развитие и прогресс возможны только в условиях здоровой конкуренции – когда компаниям, создающим похожие продукты, необходимо придумывать что-то, что привлекло бы пользователя именно к их решению. Как только на рынке появляется доминирующий субъект, то он начинает устанавливать свои правила, которым все вынуждены следовать. Зачастую эти правила ставят многих в невыгодное положение, но выбора у них нет. В результате прогресс практически останавливается, потому как монополисту нет смысла развивать свои решения – альтернатив ведь не предлагают.

В этом месте я полностью согласен с утверждением ЛК. Только, мне кажется, притянуть его к Apple можно только при очень-очень сильном желании, да и то плохо получится. Если бы Apple была единственным производителем смартфонов в мире, то это утверждение имело бы смысл. А иначе – у нас есть рынок, который все отрегулирует как надо: если пользователям настолько нужно решение по управлению доступом к информации и слежением за перемещением пользователей, они уйдут на смартфоны другой (гораздо более открытой, как любят повторять фанаты Android) платформы и к другому производителю смартфонов. В результате продажи Apple упадут и либо прогресс пойдет сам собой, либо же Apple умрет, как неспособная к конкуренции с другими субъектами.

Например, недавно сенатор США Элизабет Уоррен (Elisabeth Warren) предложила запретить крупным компаниям, ставшим монополистами, таким как Facebook (напомним, ей принадлежат Instagram и WhatsApp), Google, Apple и Amazon, размещать приложения на собственных платформах. Уоррен предлагает разделить крупные цифровые гиганты и запретить им продвигать свои продукты на платформах, которыми они владеют, так как при существующем раскладе, они по умолчанию будут создавать преференции своим решениям. Действительно, а кто бы так не делал?

К предложениям сенатора Уоррен в США есть очень много вопросов, как и проблемы поддержки этих предложений. Можно для начала представить себе iPhone без каких-либо приложений, а дальше пользователи должны будут сами находить какие-то магазины приложений и устанавливать их себе. С остальными компаниями еще сложней в плане их разделения, и эти предложения совсем не учитывают историческую практику ритейлеров по продаже продуктов под своей маркой. Магазин App Store у Apple – это важная составляющая общих пользовательских впечатлений от экосистемы устройств iOS, которая обеспечивает достаточный контроль за приложениями, их качеством и безопасностью. Когда у отдельного магазина будут свои финансовые приоритеты и цели, подозреваю, он не сможет дальше обеспечивать реализацию общего подхода Apple, и это ухудшит состояние платформы. У той же Уоррен нет ответов на эти вопросы, только общее blah-blah.

Так что мы уверены в своей правоте и в том, что наша инициатива полезна для рынка в целом. Мы очень рассчитываем, что Apple предоставит сторонним разработчикам конкурентоспособные условия, чтобы они могли продолжать взаимовыгодно сотрудничать с компанией и двигать прогресс дальше.

Apple предоставила разработчикам платформу и правила, по которым разработчики на этой платформе должны играть. Лаборатория Касперского вправе считать, что она заслуживает более конкурентноспособных условий, и российский ФАС вполне может поддержать позицию отечественной компании. Но мне кажется, что здесь все же больше желания выбить себе больше привилегий, чем обоснованных претензий к Apple. Компания все годы существования экосистемы iOS демонстрировала, что на её платформе могут присутствовать приложения, дублирующие функциональность системы и встроенных приложений, разработчики которых играют по правилам Apple. А если какое-то приложение нарушает эти правила, то это имеет последствия.

ЛК как Spotify – тоже против Apple

Помните историю с приложением Facebook research, которое компания распространяла среди пользователей в обход App Store? Когда скандал был в активной фазе, представители ФБ утверждали, что “да там совсем немного подростков было среди пользователей этого приложения, меньше 5%”. Уже потом “оказалось“, что среди пользователей приложения было около 18% подростков. Какая неожиданность. Это у FB такой modus operandi, во время скандала все отрицать или преуменьшать масштабы проблемы, чтобы потом потихоньку, постепенно раскрывать, что же было на самом деле.

Но, кажется, лед тронулся! Тут Марк Цукерберг внезапно объявил о том, что политика партии меняется, и теперь Facebook будет за конфиденциальность! Внезапно Facebook, после всех своих факапов со взломами, утечками данных, раздачей пользовательских данных направо и налево, обнаружил, что пользователи почему-то ценят конфиденциальность своих данных. Интересно, что же повлияло на это решение Цукерберга? Может, 15 млн пользователей социальной сети в США, решившие больше не пользоваться ею? Или то, что Конгресс США вплотную подбирается к Facebook с запросами о том, как работает компания и как там принимаются решения?

То, что предлагает Цукерберг — фокус на безопасных коммуникациях, личном общении, и тд — это, безусловно, очень хорошо и полезно. Уход от публичных постов и перефокусировка на шифрованные сообщения, а также автоматически исчезающие сообщения между троицей сервисов, принадлежащих компании — это все, к чему будет стремиться компания. Более того, Facebook якобы даже готов быть забаненным в странах, которые будут настаивать на раскрытии данных коммуникаций (Надеюсь, РосКомНадзор принял вызов?). Будет очень здорово, если у Цукерберга получится развернуть такую махину с 2 млрд пользователей в этом направлении. По сути, это практически разворот на 180 градусов от того успешного и денежного рекламного бизнеса, которым сейчас является Facebook.

“I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever. This is the future I hope we will help bring about.“

Но есть парочка небольших вопросов, которые возникают после прочтения поста Цукерберга:
1. Сможет ли действительно Facebook, после всех скандалов, только подчеркивавших полное неуважение к персональным и конфиденциальным пользовательским данным, полностью изменить свою бизнес-модель? Ведь, по сути, компании придется отказаться от ленты новостей, основного продукта Facebook, в котором пользователи проводят огромное количество времени.

2. Как Facebook планирует монетизировать такую новую “сеть”, если идет речь об отказе от публичных постов и фокусе на приватных, шифрованных сообщениях? Если все равно в чатах надо будет показывать рекламу, даже, допустим, не читая шифрованные сообщения, то значит ли это, что Facebook продолжит практику сбора и анализа всевозможной информации о пользователях? Тогда разговоры о конфиденциальности — это пустая болтовня.

Весь пост Цукерберга, к сожалению, читается больше как пародия на него самого же, в котором он, по сути, рассказывает, как он внезапно для себя открыл концепцию конфиденциальности персональных пользовательских данных и желание людей минимизировать видимость своих личных данных для кого попало в интернете. Но если он действительно серьезно меняет свой подход от “коммуникации между людьми всего мира” (как будто кто-то об этом просил) к тому, что компании все-таки придется занять определенную позицию касательно конфиденциальности, это очень здорово. Жаль, что такой переход, если он на самом деле случится, займет очень много времени (годы, как пишет сам Цукерберг), и все это время компания будет продолжать заниматься тем, что у нее получается лучше всего — зарабатывать на персональных данных пользователей.

YAPAF (Yet Another Post About Facebook)

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.

Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Facebook и номер телефона

Я уже упоминал про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя (пожелавшего остаться анонимным), который разобрался чуть более детально в информации об уязвимости.

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

620 млн паролей

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Про уязвимости Adobe, Apple, Microsoft

Журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!

Собственно, проблема не столько в самом сборе пользовательских данных приложениями, аналитика для этого и существует. Проблемы в данном случае больше в том, что:

а) если приложения и предупреждают пользователя о том, что они что-то там сохраняют из пользовательской информации, то это предупреждение записано где-то мелким текстом на 158 странице пользовательского соглашения, и туда вообще редко какая птица долетит. Среди тех приложений, которые изучили журналисты TechCrunch, в пользовательском соглашении о записи экрана не говорит вообще никто.

б) эти мобильные СДК, сохраняя данные о пользовательских сессиях, зачастую плохо маскируют некоторые действительно конфиденциальные данные, такие как адрес электронной почты или данные банковской карты, что действительно очень нехорошо.

Кроме того, часть приложений отправляет данные на сайт самой аналитической компании, часть — на свои сервера, и что там происходит с этими данными, как они хранятся, и кто к ним имеет доступ, вообще мало кто рассказывает. Но важно также и понимать, что подобные приложения могут сохранять запись сессии только внутри своего приложения, доступа к экранам других приложений или системы приложения, использующие эти SDK, не имеют (а то некоторые журналисты уже понаписали заголовков, как будто там пишут всех и все). В самой iOS есть функция записи экрана, но она контролируется через API системы и явно демонстрирует, когда запись активна. Было бы неплохо, чтобы Apple и Google со своей стороны активнее форсила такие приложения декларировать свои намерения по записи сессий в приложении.

Мобильная аналитическая слежка

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в «исследовании» пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:

«We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.»

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что «мы там всех предупреждали и запрашивали разрешения».

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:

• публикуется новость
• фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
• затем наступает фаза «Мы ничего не нарушали, но мы прекращаем эту практику»
• затем фаза дополнительных оправданий и опровержений
• (вы находитесь здесь)
• затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
• затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что «фейсбук как всегда» не так уж далека от правды.

Расплата Facebook

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление «будет выпущено на этой неделе».

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать «Выключить FaceTime»:

На iPhone или iPad, нужно зайти в приложение «Настройки», найти там FaceTime, и отключить верхнюю галку:

Берегите свою информацию!

Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.

Дыра в FaceTime

Сбор информации о местоположении пользователей нынче – популярный бизнес. А вот представители города Лос-Анджелес подали в суд на компанию TWC Product and Technology, которая является подразделением IBM, и известна тем, что разрабатывает и распространяет мобильное приложение The Weather Channel. В иске указывается (PDF), что компания скрытно обрабатывает частные данные пользователей и продает их третьим сторонам, включая рекламодателей. Компания вводит пользователей в заблуждение, следя за их местоположением круглосуточно».

The Weather Channel – одно из самых популярных погодных приложений для мобильных устройств, с 45 млн активных пользователей в месяц. Компания, предлагая пользователям включить местоположение для того, чтобы предоставлять более точные погодные данные, не раскрывала перед пользователями тот факт, что эти данные также будут монетизироваться с целью, которая не имеет никакого отношения к погоде. По утверждениям представителей мэрии Лос-Анджелеса, использовала эти данные для таргетированной рекламы и анализа для хедж-фондов. Мэрия призывает в своем иске компанию прекратить эту порочную практику. Компания, со своей стороны, утверждает, что всем все как надо рассказывали, и собирается защищаться в суде.

Weather Channel