Apple не особо следит за правилами использования API для снятия отпечатков

Apple не особо следит за правилами использования API для снятия отпечатков

Apple не особо следит за правилами использования API для снятия отпечатков

В рамках задачи по обеспечению конфиденциальности пользователей Apple начала требовать от разработчиков iOS обоснования для использования определённых API, которые могут быть применены для сбора данных об устройствах путем снятия цифровых отпечатков.

Как стало известно, компания не прилагает особых усилий для того, чтобы Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify соблюдали эти правила.

Отпечаток устройства вбирает в себя различную информацию о настройках и компонентах девайса, объединяя её в единый уникальный индикатор, который может быть полезен, например, для таргетированной рекламы и других вещей с учётом индивидуальных интересов пользователя.

Существуют и другие виды отпечатков пальцев, такие как цифровые, создающиеся скриптами, которые запускаются на посещаемых пользователями веб-сайтах. Они могут использоваться для нарушения конфиденциальности и отслеживания людей в интернете.

Apple отмечает важность сохранения данных, собранных с помощью API-интерфейсов, на устройстве пользователя для обеспечения конфиденциальности.

В своей документации для разработчиков компания заявила, что несмотря на необходимость использования приложениями для своей основной функциональности некоторых API, эти интерфейсы могут предоставить доступ к сигналам устройства с целью идентификации девайса или пользователя. Apple делает акцент, что снятие цифровых отпечатков запрещено вне зависимости от согласия юзера.

К таким API с поддержкой отпечатков относятся: API временных меток файлов, API времени загрузки системы, API дискового пространства, API активной клавиатуры и API пользовательских настроек.

Раньше компания отправляла предупреждения разработчикам, не следовавшим правилам, по электронной почте. Но с 1 мая 2024 года в iOS App Store не будут приниматься приложения, не указавшие в файле манифеста конфиденциальности причины использования API.

Разработчики Талал Хадж Бакри и Томми Мыска рассказали, что такие крупные компании, как Google, Meta (деятельность которой в России признана экстремистской и запрещена) и Spotify не следуют указанным правилам. Они собирают часть информации, используя API, а затем отправляют данные за пределы устройства, игнорируя требование о хранении информации на девайсе.

Издание The Register попыталось подтвердить информацию у компаний, но не получило ответа.

Apple опубликовала список уважительных причин для использования некоторых API, раскрывающих информацию, полезную для снятия отпечатков. К примеру, iOS предоставляет API под названием systemUptime, который можно запросить для получения данных о времени, прошедшем с момента последнего перезапуска устройства.

Те разработчики, которые хотят использовать этот API, должны выбрать одну из нескольких допустимых причин, указанных в файле манифеста.

Однако непонятно, проверяет ли Apple описание причин, которые вводят разработчики. Поэтому неясно, как это предотвратит использование отпечатков и повысит конфиденциальность пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru