Apple не особо следит за правилами использования API для снятия отпечатков

Apple не особо следит за правилами использования API для снятия отпечатков

Apple не особо следит за правилами использования API для снятия отпечатков

В рамках задачи по обеспечению конфиденциальности пользователей Apple начала требовать от разработчиков iOS обоснования для использования определённых API, которые могут быть применены для сбора данных об устройствах путем снятия цифровых отпечатков.

Как стало известно, компания не прилагает особых усилий для того, чтобы Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify соблюдали эти правила.

Отпечаток устройства вбирает в себя различную информацию о настройках и компонентах девайса, объединяя её в единый уникальный индикатор, который может быть полезен, например, для таргетированной рекламы и других вещей с учётом индивидуальных интересов пользователя.

Существуют и другие виды отпечатков пальцев, такие как цифровые, создающиеся скриптами, которые запускаются на посещаемых пользователями веб-сайтах. Они могут использоваться для нарушения конфиденциальности и отслеживания людей в интернете.

Apple отмечает важность сохранения данных, собранных с помощью API-интерфейсов, на устройстве пользователя для обеспечения конфиденциальности.

В своей документации для разработчиков компания заявила, что несмотря на необходимость использования приложениями для своей основной функциональности некоторых API, эти интерфейсы могут предоставить доступ к сигналам устройства с целью идентификации девайса или пользователя. Apple делает акцент, что снятие цифровых отпечатков запрещено вне зависимости от согласия юзера.

К таким API с поддержкой отпечатков относятся: API временных меток файлов, API времени загрузки системы, API дискового пространства, API активной клавиатуры и API пользовательских настроек.

Раньше компания отправляла предупреждения разработчикам, не следовавшим правилам, по электронной почте. Но с 1 мая 2024 года в iOS App Store не будут приниматься приложения, не указавшие в файле манифеста конфиденциальности причины использования API.

Разработчики Талал Хадж Бакри и Томми Мыска рассказали, что такие крупные компании, как Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify не следуют указанным правилам. Они собирают часть информации, используя API, а затем отправляют данные за пределы устройства, игнорируя требование о хранении информации на девайсе.

Издание The Register попыталось подтвердить информацию у компаний, но не получило ответа.

Apple опубликовала список уважительных причин для использования некоторых API, раскрывающих информацию, полезную для снятия отпечатков. К примеру, iOS предоставляет API под названием systemUptime, который можно запросить для получения данных о времени, прошедшем с момента последнего перезапуска устройства.

Те разработчики, которые хотят использовать этот API, должны выбрать одну из нескольких допустимых причин, указанных в файле манифеста.

Однако непонятно, проверяет ли Apple описание причин, которые вводят разработчики. Поэтому неясно, как это предотвратит использование отпечатков и повысит конфиденциальность пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Три уязвимости в стареньких iPhone уже эксплуатируются — патчи готовы

Apple выпустила важные обновления для старых версий iOS, iPadOS и macOS, чтобы закрыть сразу три уязвимости нулевого дня (0-day). Все они в настоящее время активно используются в атаках, так что обновление — не просто формальность, а необходимость.

Обновления получили:

  • iOS / iPadOS 16.7.11.
  • iOS / iPadOS 15.8.4.
  • macOS Sonoma 14.7.5.

Что за уязвимости?

  • CVE-2025-24200 — обход аутентификации в iOS. Найдена исследователем из Citizen Lab. Этой уязвимостью пользовались в точечных атаках на конкретных людей. Она позволяла обойти системные ограничения и получить доступ к «внутренностям» системы. Apple подтвердила: «Эксплойт был частью крайне сложной атаки».
  • CVE-2025-24201 — выход за пределы песочницы WebKit. Классика: через специально подготовленную веб-страницу злоумышленник может выйти за пределы безопасной среды браузера и выполнять код на устройстве. Такой баг — прямой путь к установке шпионского софта через обычный клик по ссылке.
  • CVE-2025-24085 — эскалация прав через Core Media. Уязвимость в медиасистеме Apple. Позволяет вредоносному коду работать с повышенными привилегиями и залезать туда, куда обычным приложениям доступ запрещён. Подробности Apple не раскрыла, но очевидно, что дело серьёзное.

Кому стоит обновиться?

Если вы используете одно из указанных выше устройств, особенно если не перешли на последние версии iOS или macOS — не тяните. Обновление может уберечь от реальных проблем, особенно если вы активно пользуетесь интернетом или обмениваетесь файлами и медиа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru