Выпуск iOS 14.5 закрывает 50 уязвимостей, вводит запрет на слежку

Татьяна Никитина 27 Апреля 2021 - 19:17

Домашние пользователи

...

Компания Apple устранила полсотни уязвимостей в различных компонентах ОС для iPhone и iPad. Обновление iOS 14.5 также активирует функцию App Tracking Transparency, запрещающую приложениям отслеживать действия пользователей без их согласия.

Самой серьезной из решенных проблем безопасности является ошибка использования освобожденной памяти, возникающая при попытке доступа к хранилищу куки-файлов через консоль WebKit API.

Согласно описанию Apple, эксплойт CVE-2021-30661 возможен, если пользователя удастся заманить на страницу с вредоносным контентом; в случае успеха злоумышленник сможет выполнить в системе любой сторонний код. Данная уязвимость уже начала применяться в атаках.

Функциональность App Tracking Transparency разработчик планировал ввести в iOS в начале текущего года, но из-за активной критики со стороны Facebook с этим пришлось повременить. К тому же разработчикам приложений нужно было дать время на приведение продуктов в соответствие измененным политикам приватности Apple.

Новая защита от трекинга в iOS заставляет приложения испрашивать согласие пользователя на отслеживание онлайн-активности с целью составления цифровых отпечатков и установки сторонних SDK — например, для сбора аналитики или персонализации рекламы. До сих пор все программы на iPhone занимались такой слежкой автоматически, без ведома пользователя, если только тот не поленится заглянуть в настройки и вручную внести изменения.

Возможность дефолтного запрета на эту деятельность не на шутку встревожила Facebook и других разработчиков приложений, активно зарабатывающих на показе контекстной рекламы. К началу 2021 года количество пользователей iPhone перевалило за 1 млрд, и потеря такой аудитории означает для Facebook солидное снижение доходов. Правда, в своих публичных нападках на Apple оператор соцсети предпочитал умалчивать о своих интересах, ссылаясь исключительно на представителей малого бизнеса, которых контекстная реклама держит на плаву.

Примечательно, что в борьбу против новых правил приватности на iPhone не включилась Google, потери которой могут быть значительно выше, чем у Facebook. Дело в том, что Google состоит в давних партнерских отношениях с Apple, выплачивая ей ежегодно от 9 до 12 млрд долларов за то, что iPhone и iPad по умолчанию отдают предпочтение ее поисковой системе.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 18:04

Малый и средний бизнес Корпорации Управление процессами безопасной разработки (ASOC)Безопасная разработка приложений (DevSecOps) Security Vision

Low-Code в ИБ: как собирать процессы без разработки с нуля

Рынок информационной безопасности всё чаще требует не масштабных платформ на вырост, а быстрых и понятных решений для конкретных задач — обработки инцидентов, управления уязвимостями, интеграции средств защиты и автоматизации рутинных операций.

На этом фоне всё больше внимания привлекают платформы класса Low-Code / No-Code, позволяющие создавать рабочие процессы без полноценной разработки.

Один из таких примеров — платформа Security Vision, о которой рассказала руководитель отдела разработки продуктов компании Ева Беляева в эфире AM Talk.

По сути, Low-Code / No-Code позволяет собирать процессы из готовых блоков и логических схем вместо написания тысяч строк кода. Если специалист понимает, как выполняется задача вручную, он может перенести её логику в визуальный конструктор и автоматизировать процесс.

При этом разработчики никуда не исчезают. Для сложных интеграций и взаимодействия с конечными системами по-прежнему могут использоваться скрипты и программный код. Но значительная часть бизнес-логики переносится в визуальную среду, что заметно ускоряет внедрение новых решений.

В Security Vision такой подход используется сразу в двух направлениях. Первое — создание готовых ИБ-продуктов, включая решения для управления активами, уязвимостями и инцидентами. Второе — предоставление самой платформы заказчикам и партнёрам для самостоятельной разработки собственных решений.

Одним из главных преимуществ считается сокращение времени вывода продуктов на рынок. Вместо формирования полноценной команды разработчиков компания может обучить работе с платформой инженеров и аналитиков, а затем быстро запускать новые процессы и сервисы.

Есть и реальные кейсы. В одном из проектов заказчик отказался от коробочного решения и построил собственную систему на базе платформы Security Vision. Для этого потребовалась команда фактически из полутора специалистов — инженера и аналитика. На создание рабочего продукта ушло около шести месяцев.

Порог входа в платформу называют относительно невысоким. Быстрее всего её осваивают специалисты по информационной безопасности и разработчики. Базовое обучение занимает от двух недель до месяца, а программа стажировки для студентов рассчитана на три месяца.

В самой Security Vision считают, что будущее таких платформ — не просто в автоматизации отдельных задач, а в формировании целых экосистем решений. Чем больше процессов удаётся перевести из ручного режима в конструктор, тем быстрее бизнес получает результат и тем меньше зависит от длительных циклов классической разработки.

Подробнее читайте в нашей большой статье.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!