`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Apple Card

На прошедшем вчера анонсе Apple рассказала о неком повороте компании в банковскую сферу, в частности анонсировав кредитную карту, выпускаемую совместно с MasterCard и Goldman Sachs. Карта представляет собой, по сути, виртуальную карту в приложении Wallet и работающую через Apple Pay. Система позволяет видеть на телефоне все транзакции в читаемом виде, получать ежедневно начисляемый возврат по всем покупкам в размере 2% (3% от покупок в Apple), а также в удобном и понятном виде будет обеспечивать возможность оплаты долга по карте, показывая переплату по процентам в разных кейсах. Поддержка по карте будет предоставляться по чату Messages. Доступна карта будет только в США летом этого года.

Apple Card

Такая карта и гордость Apple за её выпуск стали отличным поводом поглумиться над американской финансовой системой, которая существенно отстает от европейских систем по своей продвинутости в плане современных технологий. Правда, остряки в основном фокусировались на шутках про Apple, хотя в данном случае неплохо бы понимать, насколько архаично устроена сама система банков в США, чтобы осознать, что Apple на этом рынке действительно продвигает существенные инновации. Нет, конечно, интернет-банкинг и SMS-уведомления тут тоже есть, но крупные банки — совершенно неповоротливые бегемоты с весьма убогими порталами и простыми приложениями для смартфонов. Зачастую важная фича телефона — возможность сфотографировать бумажный чек и отправить его в банк!

Apple Card

Стать федеральным банком в США — это тот еще головняк, но им к тому же приходится бороться с крупными ритейлерами, у которых есть свои идеи по поводу того, как должны быть устроены платежи. Это в России, где в финансовой отрасли нет исторического наследия в сотни лет, сегодня с помощью бесконтактных платежей можно заплатить за что угодно. А в США многие крупные ретейлеры до сих пор им сопротивляются и пытаются изобретать свое колесо. Вот полезно будет почитать, как еще 5 лет назад, когда Apple уже начала продвигать Apple Pay, консорциум ритейлеров считал, что гораздо лучше будет завести свою систему платежей с множественным сканированием QR-кодов. Некоторые из участников этого консорциума только в конце прошлого года сдались и стали принимать Apple Pay и Google Pay (сеть аптек CVS). Walmart и некоторые другие ритейлеры все еще пытаются сдержать эту волну. Да что там говорить, я за год исписываю книжку с платежными чеками, которую тебе присылает банк для оплат с текущего счета, а места, где принимают Apple Pay, все еще надо искать. Если бы не Apple, тут и бесконтактных платежей бы не было еще долго, потому что всем остальным игрокам рынка это просто неинтересно. Сейчас, правда, мытьем и катанием довели до 70% ритейла с принятием бесконтактных платежей, но в реальности еще огромный рынок не покрыт. На фоне этого всего Apple прям молодцы, хотя из Европы и других стран это выглядит несколько забавно.

Apple Card

К виртуальной карте, кстати, прилагается еще и физическая — из титана! (а говорили, что вчерашнее мероприятие только о программных продуктах). Правда, работает она только при наличии iPhone, так как у карты нет номера, и для каждой карты номер и CVV коды будут генериться свои на устройстве (поэтому, кстати, у карты нет своей возможности работать с бесконтактными платежами, так как все равно нужен смартфон). Кэшбэк по покупкам физической картой только 1%, но не для стимулирования использования виртуальной, а потому, что в случае оплаты физической картой свои проценты там соберут и владелец POS, и платежная система. Карта будет выпускаться бесплатно, и по ней не будет никаких комиссий (у многих банков кредитные карты в США стоят от 100 до 400 долл в год, а уж проценты и штрафы там огого). Хотя мне все же интересно было бы посмотреть на детальное описание всех условий и штрафов Apple Card — все то, что пишут мелким текстом, потому что эти детали обычно очень важны. Кроме этого, обычно к кредиткам в США прилагается обычно весьма много всяких дополнительных бонусов — баллы для авиакомпаний и отелей, страховка аренды автомобилей и отмены поездки, и тд. Ничего этого в карте Apple пока нет, поэтому традиционным банкам пока что можно не напрягаться.

Apple Card

Apple, в свою очередь, обещает пользователям полную конфиденциальность покупок — информация о покупках, что было куплено и сколько заплатил за приобретенный товар или услугу пользователь, Apple будут недоступны. Хотя, конечно, если есть транзакция в 4 доллара из заведения “Starbucks”, то вполне можно предположить, что же именно я там купил. Goldman Sachs, который выходит на рынок потребительского банкинга и является партнером Apple, в этом случае тоже обещает не делиться информацией о покупках с рекламодателями. В Штатах это тоже популярная практика, и тот же Facebook активно закупается информацией по транзакциям банковских карт. Зато Apple получит какие-то доли процентов от транзакций по карте, а также наверняка для держателей карты Apple будут доступны скидки при покупке подписок на анонсированные сервисы новостей, телевидения и игр. Судя по той реакции, которую я видел в западной прессе, карта вызвала самый большой интерес из всех вчерашних анонсов, хотя я еще подумаю, хочу ли я себе её открывать (да кого я обманываю, просто ради этого куска титана, видимо, открою).

Apple Card

ЛК как Spotify – тоже против Apple

«Лаборатория Касперского» опубликовала блог, рассказав о том, что компания подала против Apple жалобу в «Федеральную антимонопольную службу» (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:

 

  • У ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
  • С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
  • В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
  • ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что – я так и не уловил четко это из статьи в блоге.

 

В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать «вырванные из текста и контекста» утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.

В прошлом году мы получили от Apple уведомление о том, что наше приложение Kaspersky Safe Kids для iOS не удовлетворяет требованиям пункта 2.5.1 правил для приложений, размещаемых в App Store. Раньше никаких вопросов к Kaspersky Safe Kids в этом плане у Apple не было – оно около трех лет размещалось в App Store и удовлетворяло всем условиям.

Выяснилось, что, по мнению Apple, использование конфигурационных профилей противоречит политике магазина App Store, и Apple потребовала их убрать, чтобы приложение прошло ревизию и могло быть размещено в магазине. Для нас это значило исключить из Kaspersky Safe Kids две основные функции: контроль приложений и блокировку браузера Safari.

Здесь, мне кажется, наблюдается некая подмена понятий. То, что приложение попадало ранее в App Store, необязательно гарантирует, что оно «удовлетворяло всем условиям». Людей, которые проверяют приложения, не так много, за день они должны проверить около 40 приложений, поэтому зачастую до тщательной проверки того, как работает приложение, у ревьюверов могут не доходить руки.

Пункт 2.5.1, кстати – это требование использовать только публичные API, а также использовать API и фреймворки только с той целью, для которой они предназначались изначально. Я подозреваю, что установка конфигурационных профилей, которые необходимы для работы приложения SafeKids, подпадает под пункт о некорректном использовании API и фреймворков. Конфигурационные профили используются в первую очередь для решений корпоративных систем управления устройствами (mobile device management – MDM). Поэтому использование SafeKids и подобными им приложениями профилей от MDM и VPN, а также доступ в фоне к информации о местоположении для реализации функциональности практически наверняка является реальным нарушением требований Apple. К тому же, если мне не изменяет память, для корректной работы этих конфигурационных профилей они должны генерироваться с использованием сертификата из аккаунта корпоративного разработчика. Напомню, что недавно Facebook и Google попали в неприятную историю с использованием корпоративных сертификатов разработчиков, и это чувствительная тема для Apple).

Стоит отметить, что такое изменение в политике Apple по отношению к нашему приложению и, по сути, ко всем разработчикам ПО для родительского контроля, произошло сразу после того, как компания из Купертино представила в iOS 12 собственную функцию Screen Time. Эта функция позволяет пользователям контролировать, сколько они проводят в тех или иных приложениях или на тех или иных сайтах и задавать ограничения по времени. В сущности, это собственное приложение для родительского контроля от Apple.

Безусловно, можно предположить, что Apple решила выпилить из App Store всех конкурентов новой функциональности Screen Time, как она это сделала со всеми сторонними почтовыми клиентами, браузерами, калькуляторами, приложениями для погоды… ой, нет, подождите, кажется, я что-то путаю. Как известно, корреляция – это одна из разновидностей связи, но ей совершенно необязательно быть причинно-следственной. Вполне можно допустить, что внедрив свою функциональность, Apple поняла, что сторонние приложения, которые тоже её реализуют, не могут этого делать без нарушения каких-то правил разработки, и начала уделять им больше внимания при проверке.

Управление возможностями iOS-устройств приложениями сторонних разработчиков – это весьма нетривиальная и совсем неочевидная часть функциональности SafeKids, для реализации которой нужны существенные приседания со стороны разработчиков. Более того, там весь этот workflow по «втягиванию» детских устройств под родительские, с установкой конфигурационных профилей – достаточно сложный, многошаговый и неочевидный, в котором создать нормальный пользовательский опыт практически невозможно (одна из причин, по которой мы в свое время забросили разработку похожего проекта). Еще одна из причин, кстати – это то, что даже тогда, несколько лет назад, уже было очевидно, что для потребительских приложений Apple будет все больше и больше отбирать возможности по управлению другими устройствами, фокусируясь на образовании и корпорациях. Честно говоря, я удивлен, что у ЛК хватило сил и терпения поддерживать это приложение три года.

Тем не менее, я считаю, что вот так однозначно приписывать решение Apple по блокировке решения ЛК только выпуском Screen Time – это скорее повод придраться к Apple, нежели действительно увидеть проблему. Которая заключается в том, что сама iOS и её закрытость не очень-то предназначена для того, чтобы сторонние разработчики туда лезли своими конфигурационными профайлами и начинали менять настройки и возможности системы.

Дальше, конечно, начинается классика про «владельца платформы, а также контролера единственного канала доставки приложений пользователям этой платформы, чтобы диктовать условия, не позволяя другим разработчикам выступать на равных». Я считал и считаю, что Apple, создавая платформу, имеет право контролировать, кто, что и как делает на этой платформе. Тем более в таких весьма вторгающихся в личную жизнь других людей сценариях, как слежение за детьми и их активностью (да и кто там разбирается, за детьми кто-то следит или, например, за перемещением и активностью супруга(и)). Железная рука рынка все отрегулирует: если пользователей, желающих контролировать своих детей таким образом, достаточно много, они уйдут на Android, в котором подобных ограничений меньше, и Apple со своим iPhone станет никому не нужна.

Устанавливая свои правила в отношении этого канала, компания транслирует свою рыночную власть и на другие смежные рынки – например, на рынок программного обеспечения для родительского контроля, на котором она только недавно вообще начала играть. И именно в этом распространении своего влияния за счет обладания так называемой ключевой мощностью на другие сегменты, которое приводит к ограничению и устранению конкуренции, мы видим признаки нарушения антимонопольного законодательства, заключающегося в создании барьеров и дискриминации нашего ПО.

Определенные опции родительского контроля в iOS присутствуют много лет, а новые возможности Screen Time добавили недавно, так как стало раздаваться все больше призывов о чрезмерной зависимости пользователей от смартфонов, о фокусе на «цифровом здоровье» и призывов к Apple сделать что-нибудь по этому поводу.

Как по мне, в целом это «влияние на рынок» – очень притянутый за уши аргумент. Называть Apple монополистом на рынке устройств iOS это как называть BMW монополистом на рынке автомобилей BMW. Если Apple считает, что подобные решения на её платформе не нужны, мне кажется, она вполне имеет право принимать те решения, которые считает нужным. Я бы тоже хотел, чтобы Apple была более открыта к разработчикам и их пожеланиям, но почему-то они меня не слушаются.

Проблема с запретом на использование конфигурационных профилей в той или иной мере коснулась не только нас, а вообще всех разработчиков приложений для родительского контроля. Впрочем, это и не единственная тема, по которой у разработчиков софта есть вопросы к Apple. Например, недавно жалобу в Еврокомиссию на Apple подала компания Spotify, которая также считает, что в Купертино используют положение монополиста для продвижения своих сервисов, не давая остальным шансов соревноваться на равных.

ЛК очень хочется, чтобы жалобу компании воспринимали на том же уровне, что и Spotify, у которой тоже созрела жалоба на Apple. Она, правда, касается совсем другой темы – оплат подписки и процентных сборов за платежи, проходящие через App Store. Напомню, что Apple собирает 30% с подписочных платежей в первый год и 15% в последующие периоды. Spotify считает, что предоставляя на своей платформе Apple Music, которой не нужно отдавать 15% отчислений в Apple, Apple находится в нечестном положении по отношению к Spotify. Определенное разумное зерно в этом есть, хотя ничего не останавливает пользователей от того, чтобы купить подписку на сайте Spotify и пользоваться ею в мобильном приложении на iOS. В этом месте, скорее, проблема в том, что разработчики не могут в своей программе сказать «вы также можете купить подписку на сайте по ссылке тут» – и сделать цену в самом приложении выше, например, чтобы компенсировать 15% сборов. Эту претензию Spotify я могу понять, хотя, опять же, Apple на своей платформе с 15% мировых пользователей смартфонов может устанавливать свои правила и сложно её называть монополистом при этом.

А, скажем, приложение для родительского контроля Kidslox все еще можно скачать из App Store, но обновления к нему не проходят ревизию Apple и поэтому не попадают в магазин приложений.

Может, мне кажется, но тут у Лаборатории Касперского почему-то получается такой смысл, что их приложение SafeKids убрали из App Store, хотя это не так, приложение все еще доступно (последний апдейт – 4 октября 2018 года).

Мы очень рассчитываем на то, что мы также сможем и дальше взаимовыгодно сотрудничать с Apple, и для этого нам необходимо создать условия, в которых «Лаборатория Касперского» и другие компании на равных конкурируют друг с другом. Сейчас условия явно отличаются – и поэтому мы обращаемся в ФАС.

Возможно, что в тексте жалобы к ФАС и перечислены требования ЛК к Apple, но из этой статьи я так и не понял, что же именно должна сделать Apple. Поскольку дальше идет текст о том, почему монополии – это плохо, и о том, что монополии нужно разделять и запрещать им размешать свои приложения на своих платформах, я делаю вывод, что жалоба в ФАС призывает, скорей всего, прямо к дроблению Apple на производителя iPhone, на разработчика iOS, на разработчика App Store, и на разработчика функции Screen Time. Так должно все получиться и заработать.

Развитие и прогресс возможны только в условиях здоровой конкуренции – когда компаниям, создающим похожие продукты, необходимо придумывать что-то, что привлекло бы пользователя именно к их решению. Как только на рынке появляется доминирующий субъект, то он начинает устанавливать свои правила, которым все вынуждены следовать. Зачастую эти правила ставят многих в невыгодное положение, но выбора у них нет. В результате прогресс практически останавливается, потому как монополисту нет смысла развивать свои решения – альтернатив ведь не предлагают.

В этом месте я полностью согласен с утверждением ЛК. Только, мне кажется, притянуть его к Apple можно только при очень-очень сильном желании, да и то плохо получится. Если бы Apple была единственным производителем смартфонов в мире, то это утверждение имело бы смысл. А иначе – у нас есть рынок, который все отрегулирует как надо: если пользователям настолько нужно решение по управлению доступом к информации и слежением за перемещением пользователей, они уйдут на смартфоны другой (гораздо более открытой, как любят повторять фанаты Android) платформы и к другому производителю смартфонов. В результате продажи Apple упадут и либо прогресс пойдет сам собой, либо же Apple умрет, как неспособная к конкуренции с другими субъектами.

Например, недавно сенатор США Элизабет Уоррен (Elisabeth Warren) предложила запретить крупным компаниям, ставшим монополистами, таким как Facebook (напомним, ей принадлежат Instagram и WhatsApp), Google, Apple и Amazon, размещать приложения на собственных платформах. Уоррен предлагает разделить крупные цифровые гиганты и запретить им продвигать свои продукты на платформах, которыми они владеют, так как при существующем раскладе, они по умолчанию будут создавать преференции своим решениям. Действительно, а кто бы так не делал?

К предложениям сенатора Уоррен в США есть очень много вопросов, как и проблемы поддержки этих предложений. Можно для начала представить себе iPhone без каких-либо приложений, а дальше пользователи должны будут сами находить какие-то магазины приложений и устанавливать их себе. С остальными компаниями еще сложней в плане их разделения, и эти предложения совсем не учитывают историческую практику ритейлеров по продаже продуктов под своей маркой. Магазин App Store у Apple – это важная составляющая общих пользовательских впечатлений от экосистемы устройств iOS, которая обеспечивает достаточный контроль за приложениями, их качеством и безопасностью. Когда у отдельного магазина будут свои финансовые приоритеты и цели, подозреваю, он не сможет дальше обеспечивать реализацию общего подхода Apple, и это ухудшит состояние платформы. У той же Уоррен нет ответов на эти вопросы, только общее blah-blah.

Так что мы уверены в своей правоте и в том, что наша инициатива полезна для рынка в целом. Мы очень рассчитываем, что Apple предоставит сторонним разработчикам конкурентоспособные условия, чтобы они могли продолжать взаимовыгодно сотрудничать с компанией и двигать прогресс дальше.

Apple предоставила разработчикам платформу и правила, по которым разработчики на этой платформе должны играть. Лаборатория Касперского вправе считать, что она заслуживает более конкурентноспособных условий, и российский ФАС вполне может поддержать позицию отечественной компании. Но мне кажется, что здесь все же больше желания выбить себе больше привилегий, чем обоснованных претензий к Apple. Компания все годы существования экосистемы iOS демонстрировала, что на её платформе могут присутствовать приложения, дублирующие функциональность системы и встроенных приложений, разработчики которых играют по правилам Apple. А если какое-то приложение нарушает эти правила, то это имеет последствия.

ЛК как Spotify – тоже против Apple

YAPAF (Yet Another Post About Facebook)

Помните историю с приложением Facebook research, которое компания распространяла среди пользователей в обход App Store? Когда скандал был в активной фазе, представители ФБ утверждали, что “да там совсем немного подростков было среди пользователей этого приложения, меньше 5%”. Уже потом “оказалось“, что среди пользователей приложения было около 18% подростков. Какая неожиданность. Это у FB такой modus operandi, во время скандала все отрицать или преуменьшать масштабы проблемы, чтобы потом потихоньку, постепенно раскрывать, что же было на самом деле.

Но, кажется, лед тронулся! Тут Марк Цукерберг внезапно объявил о том, что политика партии меняется, и теперь Facebook будет за конфиденциальность! Внезапно Facebook, после всех своих факапов со взломами, утечками данных, раздачей пользовательских данных направо и налево, обнаружил, что пользователи почему-то ценят конфиденциальность своих данных. Интересно, что же повлияло на это решение Цукерберга? Может, 15 млн пользователей социальной сети в США, решившие больше не пользоваться ею? Или то, что Конгресс США вплотную подбирается к Facebook с запросами о том, как работает компания и как там принимаются решения?

То, что предлагает Цукерберг — фокус на безопасных коммуникациях, личном общении, и тд — это, безусловно, очень хорошо и полезно. Уход от публичных постов и перефокусировка на шифрованные сообщения, а также автоматически исчезающие сообщения между троицей сервисов, принадлежащих компании — это все, к чему будет стремиться компания. Более того, Facebook якобы даже готов быть забаненным в странах, которые будут настаивать на раскрытии данных коммуникаций (Надеюсь, РосКомНадзор принял вызов?). Будет очень здорово, если у Цукерберга получится развернуть такую махину с 2 млрд пользователей в этом направлении. По сути, это практически разворот на 180 градусов от того успешного и денежного рекламного бизнеса, которым сейчас является Facebook.

“I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever. This is the future I hope we will help bring about.“

Но есть парочка небольших вопросов, которые возникают после прочтения поста Цукерберга:
1. Сможет ли действительно Facebook, после всех скандалов, только подчеркивавших полное неуважение к персональным и конфиденциальным пользовательским данным, полностью изменить свою бизнес-модель? Ведь, по сути, компании придется отказаться от ленты новостей, основного продукта Facebook, в котором пользователи проводят огромное количество времени.

2. Как Facebook планирует монетизировать такую новую “сеть”, если идет речь об отказе от публичных постов и фокусе на приватных, шифрованных сообщениях? Если все равно в чатах надо будет показывать рекламу, даже, допустим, не читая шифрованные сообщения, то значит ли это, что Facebook продолжит практику сбора и анализа всевозможной информации о пользователях? Тогда разговоры о конфиденциальности — это пустая болтовня.

Весь пост Цукерберга, к сожалению, читается больше как пародия на него самого же, в котором он, по сути, рассказывает, как он внезапно для себя открыл концепцию конфиденциальности персональных пользовательских данных и желание людей минимизировать видимость своих личных данных для кого попало в интернете. Но если он действительно серьезно меняет свой подход от “коммуникации между людьми всего мира” (как будто кто-то об этом просил) к тому, что компании все-таки придется занять определенную позицию касательно конфиденциальности, это очень здорово. Жаль, что такой переход, если он на самом деле случится, займет очень много времени (годы, как пишет сам Цукерберг), и все это время компания будет продолжать заниматься тем, что у нее получается лучше всего — зарабатывать на персональных данных пользователей.

YAPAF (Yet Another Post About Facebook)

Facebook и номер телефона

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.

Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Facebook и номер телефона

Про уязвимость в WinRAR

Я уже упоминал про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя (пожелавшего остаться анонимным), который разобрался чуть более детально в информации об уязвимости.

 
 
Если вам интересно: я тестировал эту уязвимость сразу, как только услышал о ней. Я внимательно прочитал оригинальную статью, и отделил зёрна от плевел:
 
1) Несмотря на то, что методом атаки на архиватор был fuzzing, в сущности уязвимость представляет из себя просто распаковку файла по абсолютному пути. Это не связано с memory-related багами архиватора (то есть это НЕ переполнение буфера памяти, НЕ исполнение произвольного кода в контекста процесса), которые обычно обнаруживаются фаззингом.
 
2) Для фактической эксплуатации уязвимости, нужно создать ACE архив стандартным способом, а потом просто бинарно изменить в нём прописанный путь к файлу. Чтобы после этого архив воспринимался как корректный, нужно пересчитать контрольную CRC сумму в заголовках. Автор статьи не показал прямой код пересчёта, но следуя комментариям в исходниках Python-библиотеки по ссылке – я разобрался и сам, подбором найдя подходящую инициализацию crc32, которая генерирует валидные хеши. В итоге, моя собственная программа для восстановления контрольной суммы оказалась весьма тривиальной.
 
3) Сущность атаки как раз в выборе пути к payload-файлу в архиве. На самом деле я бы с большой натяжкой стал называть эту уязвимость RCE (то есть «удалённое выполнение кода»), потому что всё что произойдёт при успешной атаке – WinRar распакует файл не в указанную папку, а по заранее заданному в архиве абсолютному пути. И _если_ этот файл попадёт в Автозагрузку или ещё куда-то, где сможет быть запущен системой – то тогда, и только тогда это приведёт к выполнению произвольного кода.
 
4) Автор статьи предлагает также способ с «относительным» путём, начинающимся от Рабочего стола или Домашней папки пользователя, чтобы было проще попасть в директорию локальной автозагрузки. Но это сработает, _только_ если архив будет распакован через контекстное меню, да и вообще – начальная «текущая директория» WinRar может отличаться на разных системах и версиях.
 
5) Чтобы гарантированно попасть в нужную папку, автор статьи предлагает поместить в архив сразу несколько файлов, целящихся на разные локации, чуть ли не до брутфорса. Но во-первых, совершенно «общий» payload в таком случае будет чрезмерно велик (например, Windows не всегда установлена на диск C:\; полный путь к автозагрузке для XP и для Win7 будет абсолютно разным; ещё можно пытаться угадать имя пользователя – «User/Administrator/Администратор/» и дополнительно бить по «All Users»), потому что по каждому пути придётся поместить новую копию вредоносного файла. А во-вторых, распаковка такого архива буквально заспамит систему (например, создаст вам кучу лишних папок наподобие «\Documents and Settings\» где попало), и с куда большей вероятностью подобная атака не останется незамеченной.
 
6) Да, в архив кроме вируса как такового, можно поместить и «нормальные» файлы для отвода глаз, которые распакуются куда ожидает жертва. Но если архив будет ОТКРЫТ, а не распакован – то WinRar счастливо покажет в списке файлов архива очень подозрительные вхождения наподобие «C:», «C:\», «Documents and Settings», «WINDOWS», «..\», и так далее. И жертва может сразу же заподозрить неладное. Причём при «открытии» архива без его полной распаковки – вредоносный файл так никуда и не вырвется.
 
7) Мои собственные эксперименты показали, что на разных версиях WinRar, ошибку обработки пути нужно обходить по-разному: в старых версиях достаточно просто прописать абсолютный путь («C:\Users\…»), а более новых версиях – как в инструкции статьи, «C:\C:\Users\…» (количество и расположение \ тоже может варьироваться). Поэтому, для общей атаки нужно предусмотреть и эти различия. Причём если WinRar получит неподходящий ему путь – информация об этом обязательно появится на экране («Диагностические сообщения»), где будет палиться ПОЛНЫЙ путь, по которому попыталась пройти атака. Тем не менее, распаковка не прерывается, и вирус всё ещё может попасть в цель (но однозначно вызовет подозрения).
 
8) Можно перезаписать любой файл, если попасть в путь к нему, например C:\WINDOWS\explorer.exe (плюс, его же копию в system32\dllcache). Но для системных файлов это сработает лишь когда у пользователя есть права на запись в системные папки (то есть, он под Администратором). Win>=7 скорее всего заблокирует доступ через UAC (если не сам WinRar почему-то запущен с повышенными привилегиями), а вот для XP успешность более вероятна (хотя те, кто ежедневно на XP с админ-правами – явно не «простые пользователи», и на распаковку подставного архива так просто не попадутся).
 
9) Попытка прямой записи в Автозагрузку или любую системную папку – может вызвать предупреждение антивируса или какой-либо другой программы, обеспечивающей безопасность системы (например, AnVir Task Manager). При этом главная фишка этого метода – скрытность – неизбежно нарушается. А тех, у кого нет подобных систем защиты – можно проще прошибить через «.rar.exe» а-ля троянский self-extracting и без всяких там RCE. Кстати, если мы распакуем чистейший вирус – то антивирус его поймает сразу же, как тот распакуется в целевую папку (а худшее, что может быть – перезапись пустышками каких-то важных программ или документов, но опять же – надо точно знать путь).
 
10) Адекватнее всего атака производится на «частную» систему, которая заранее изучена: известна точная версия WinRar в ней, точная Windows и её системная локаль (потому что успехов вам распаковывать в папку «\Startup\», если на самом деле она зовётся «\Автозагрузка\», и это не desktop.ini, а реальный путь). Известно, каким правами обладает учётная запись пользователя, какой установлен антивирус, и вообще у нас есть соображения, под что именно будем маскировать распакующийся троян. В противном случае даже частично слепая атака в лучшем для злоумышленника случае просто не приведёт к успеху, а в худшем – окажется немедленно раскрыта жертвой.
 
Мой вердикт: уязвимость не затронет «простых пользователей», под которых специально не затачивается конкретная атака. Напороться на удачно подошедший именно к вашей системе подменённый архив (и не заметить его) – куда менее вероятно, чем случайно подцепить вирус попроще (какой-нибудь там «.scr» с иконкой папки) по неосторожности.
 
Все новостные ленты раздувают это как «баг 19-летней давности, затрагивающий миллионы людей», но эффективно использовать его просто невозможно (например, в отличие от уязвимости в windows, которую использовал WannaCry; а она ведь была там тоже очень давно).
 
Более того, для защиты вам даже не обязательно обновлять WinRar: просто найдите и переименуйте все файлы «UNACEV2.DLL» на компьютере (эту библиотеку использует не только WinRar, но и, например, Total Commander), тогда никакие .ace архивы у вас не смогут распаковаться (тем более что этот формат, на мой взгляд, всё равно совершенно непопулярный в наши дни)

620 млн паролей

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

620 млн паролей

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Про уязвимости Adobe, Apple, Microsoft

Мобильная аналитическая слежка

Журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!

Собственно, проблема не столько в самом сборе пользовательских данных приложениями, аналитика для этого и существует. Проблемы в данном случае больше в том, что:

а) если приложения и предупреждают пользователя о том, что они что-то там сохраняют из пользовательской информации, то это предупреждение записано где-то мелким текстом на 158 странице пользовательского соглашения, и туда вообще редко какая птица долетит. Среди тех приложений, которые изучили журналисты TechCrunch, в пользовательском соглашении о записи экрана не говорит вообще никто.

б) эти мобильные СДК, сохраняя данные о пользовательских сессиях, зачастую плохо маскируют некоторые действительно конфиденциальные данные, такие как адрес электронной почты или данные банковской карты, что действительно очень нехорошо.

Кроме того, часть приложений отправляет данные на сайт самой аналитической компании, часть — на свои сервера, и что там происходит с этими данными, как они хранятся, и кто к ним имеет доступ, вообще мало кто рассказывает. Но важно также и понимать, что подобные приложения могут сохранять запись сессии только внутри своего приложения, доступа к экранам других приложений или системы приложения, использующие эти SDK, не имеют (а то некоторые журналисты уже понаписали заголовков, как будто там пишут всех и все). В самой iOS есть функция записи экрана, но она контролируется через API системы и явно демонстрирует, когда запись активна. Было бы неплохо, чтобы Apple и Google со своей стороны активнее форсила такие приложения декларировать свои намерения по записи сессий в приложении.

Мобильная аналитическая слежка

Расплата Facebook

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в «исследовании» пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:

«We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.»

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что «мы там всех предупреждали и запрашивали разрешения».

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:

  • публикуется новость
  • фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
  • затем наступает фаза «Мы ничего не нарушали, но мы прекращаем эту практику»
  • затем фаза дополнительных оправданий и опровержений
  • (вы находитесь здесь)
  • затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
  • затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что «фейсбук как всегда» не так уж далека от правды.

Расплата Facebook

Дыра в FaceTime

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление «будет выпущено на этой неделе».

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать «Выключить FaceTime»:

Дыра в FaceTime

На iPhone или iPad, нужно зайти в приложение «Настройки», найти там FaceTime, и отключить верхнюю галку:

Дыра в FaceTime

Берегите свою информацию!

Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.

Дыра в FaceTime

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT