Apple не особо следит за правилами использования API для снятия отпечатков
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Apple не особо следит за правилами использования API для снятия отпечатков

Apple не особо следит за правилами использования API для снятия отпечатков

В рамках задачи по обеспечению конфиденциальности пользователей Apple начала требовать от разработчиков iOS обоснования для использования определённых API, которые могут быть применены для сбора данных об устройствах путем снятия цифровых отпечатков.

Как стало известно, компания не прилагает особых усилий для того, чтобы Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify соблюдали эти правила.

Отпечаток устройства вбирает в себя различную информацию о настройках и компонентах девайса, объединяя её в единый уникальный индикатор, который может быть полезен, например, для таргетированной рекламы и других вещей с учётом индивидуальных интересов пользователя.

Существуют и другие виды отпечатков пальцев, такие как цифровые, создающиеся скриптами, которые запускаются на посещаемых пользователями веб-сайтах. Они могут использоваться для нарушения конфиденциальности и отслеживания людей в интернете.

Apple отмечает важность сохранения данных, собранных с помощью API-интерфейсов, на устройстве пользователя для обеспечения конфиденциальности.

В своей документации для разработчиков компания заявила, что несмотря на необходимость использования приложениями для своей основной функциональности некоторых API, эти интерфейсы могут предоставить доступ к сигналам устройства с целью идентификации девайса или пользователя. Apple делает акцент, что снятие цифровых отпечатков запрещено вне зависимости от согласия юзера.

К таким API с поддержкой отпечатков относятся: API временных меток файлов, API времени загрузки системы, API дискового пространства, API активной клавиатуры и API пользовательских настроек.

Раньше компания отправляла предупреждения разработчикам, не следовавшим правилам, по электронной почте. Но с 1 мая 2024 года в iOS App Store не будут приниматься приложения, не указавшие в файле манифеста конфиденциальности причины использования API.

Разработчики Талал Хадж Бакри и Томми Мыска рассказали, что такие крупные компании, как Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify не следуют указанным правилам. Они собирают часть информации, используя API, а затем отправляют данные за пределы устройства, игнорируя требование о хранении информации на девайсе.

Издание The Register попыталось подтвердить информацию у компаний, но не получило ответа.

Apple опубликовала список уважительных причин для использования некоторых API, раскрывающих информацию, полезную для снятия отпечатков. К примеру, iOS предоставляет API под названием systemUptime, который можно запросить для получения данных о времени, прошедшем с момента последнего перезапуска устройства.

Те разработчики, которые хотят использовать этот API, должны выбрать одну из нескольких допустимых причин, указанных в файле манифеста.

Однако непонятно, проверяет ли Apple описание причин, которые вводят разработчики. Поэтому неясно, как это предотвратит использование отпечатков и повысит конфиденциальность пользователей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России заработала платформа Kaspersky Cybersecurity Training

Анонсирован запуск русскоязычной платформы Kaspersky Cybersecurity Training, на которой специалисты по ИТ и ИБ смогут оттачивать свои навыки с помощью онлайн-курсов, разработанных в «Лаборатории Касперского».

Программы обучения, в том числе самостоятельного, также будут полезны организациям, желающим расширить компетенции своих безопасников. Ранее тренинги Kaspersky были доступны лишь на английском языке.

Представленные на платформе курсы разнообразны и рассчитаны на разные уровни подготовки. На русском языке представлены популярный тренинг «Техники продвинутого анализа вредоносного ПО» и новый — «Безопасная разработка программного обеспечения».

Последний будет расширяться, а пока охватывает следующие темы:

  • основы и жизненный цикл безопасной разработки, опыт реализации и внедрения, основные практики и инструменты;
  • подходы к моделированию киберугроз и проектированию архитектуры продуктов;
  • основы OWASP, интеграция инструментов и проектов OWASP в процессы разработки;
  • безопасная разработка на С/C++, с подробным разбором образцов кода; рекомендации по предотвращению и исправлению ошибок, приводящих к появлению уязвимостей.

«Онлайн-тренинги “Лаборатории Касперского” для ИБ-экспертов прошли специалисты из более чем 50 стран, — комментирует Антон Иванов, директор Kaspersky по исследованиям и разработке. — Эти курсы использовались в том числе для обучения сотрудников Интерпола. Наше портфолио охватывает разные темы, от базовых знаний по реверс-инжинирингу и написанию правил YARA до продвинутых методов поиска угроз и анализа вредоносного ПО, исследования инцидентов и цифровой криминалистики. Теперь они стали доступнее для русскоязычных специалистов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru