Apple вынуждена отвечать на письмо конгресса США относительно безопасности данных на iPhone

Информационная безопасность*

Несколько дней назад на Хабре упоминалось о том, что социальный сервис Path 2.0 благодаря внимательному программисту попался на том, что мобильный iOS-клиент сервиса занят пересылкой всей адресного книги смартфона на свои серверы без разрешения пользователя. Тогда инцидент был исчерпан тем, что руководство сервиса признало факт потенциальной угрозы приватности данных и пообещало исправить эту ситуацию в своих мобильных клиентах.

Однако же, по всей видимости, этот факт не прошёл даром для Apple. Сегодня члены конгресса США отправили в компанию на имя Тима Кука официальное письмо, в котором речь идёт как раз о вопросах безопасности данных, к которым имеет доступ iPhone. В нём говорится, что причиной официального обращения послужили жалобы и опасения пользователей после инцидента с Path, а суть письма заключается в следующем: если устройство в состоянии получить полный доступ к приватной информации без ведома на то пользователя, то каким образом Apple регламентирует эту способность iOS и каковы рекомендации для разработчиков относительно этой небезопасной функциональности?

Всего перед Apple сформулированы 9 вопросов, большинство из которых прямо касается поставленной проблемы. Например, предлагается объяснить, что Apple понимает под «пользовательскими данными» (data about a user), сколько таких приложений с такой функциональностью в AppStore и почему не предусмотрено программной возможности её отключения.

Ответ компании предлагается дать до 29 февраля.

[Источник]

+20

15 февраля 2012, 23:09

jeston 808,1 G+

комментарии (37)

–10

kAIST 15 февраля 2012, 23:20 #

Я не сторонник apple, но в этом случае причем здесь они?
Доступ к записной книге есть практически на любой платформе, тут вина этого самого социального сервиса. Хотя в новости и не говорится о вине apple. В чем новость то?

jeston 15 февраля 2012, 23:26 # ↑

Конгрессу США интересно, почему iOS-приложения в принципе могут без разрешения пользователя манипулировать адресной книгой айфона, пересылая их свободно в интернет.

general 15 февраля 2012, 23:49 # ↑

А то, что приложения под Windows могут спокойно делать то же самое уже лет 20 на миллиарде десктопов конгресс не интересует?

–2

bobermaniac 15 февраля 2012, 23:53 # ↑

А где в Windows хранится моя адресная книга?

Mairon 16 февраля 2012, 00:01 # ↑

У меня хранится. В папке Контакты. Как это ни странно :)

bobermaniac 16 февраля 2012, 00:05 # ↑

У меня в папке «контакты» одна запись по имени «bober_maniac», в которой нет ни одного поля. Это при том, что у меня стоит декстопный Аутлук, в котором есть база контактов.

А как с виндовой базой контактов работать? Она как-нибудь интегрируется с приложениями? Зачем она вообще нужна? Для чего ее используют?

Я правда не знаю, я конечно видел, что в висте (или семерке, не помню уже) появилась папочка «контакты», но никогда не знал, для чего она.

taliban 16 февраля 2012, 17:01 # ↑

Пуск — все программы — стандартные — адресная книга. То что Вы не пользуетесь, не значит что этого нельзя сделать.

bobermaniac 16 февраля 2012, 17:03 # ↑

Я с вами совершенно согласен.

Просто лично мне кажется, что это как-бы слегка несравнимые вещи — адресная книга, которая появилась в Windows 7 (и которой, судя по всему, мало кто пользуется) и адресная книга в личном мобильном телефоне, без которой использование мобильника сегодня очень сильно затруднено.

taliban 16 февраля 2012, 17:13 # ↑

Адресная книга в виндовс есть за долго до виндовс 7, и ей пользуются все кто пользуется аутлук (а им пользуются очень много людей), так как он использует ее. И если у таких людей левая программа сопрет все контакты, будет тоже не интересно. Но, если при установки программы она запрашивает доступ к адресной книге, и человек соглашается, то эпл в принципе ни при чем, она не может предотвратить утечку данных в таком случае.

bobermaniac 16 февраля 2012, 17:21 # ↑

Век живи — век учись. Сто лет уже виндой пользуюсь, а про адресную книгу только вчера узнал.

Да, я пользуюсь аутлуком еще с 98-го офиса, но никогда не пользовался виндовой адресной книгой. И сейас у меня аутлук сихнронизируется по контактам с гуглом, а виндовая адресная книга почему-то пустая.

cdev 16 февраля 2012, 20:02 # ↑

Не совсем.
Может человек не хочет давать доступ ко всей адресной книге?
А вот механизма выбрать средствами системы ровно 1 контакт из книги и передать выбранный стороннему приложению — не сделали.

taliban 16 февраля 2012, 20:07 # ↑

Такого нет нигде. Давайте теперь всех кто производит оси (даже те на которых просто Java работает) под одну палку ставить. И на андроид надо наехать в таком случае, и на винду, и на баду, и на симбиан, итд.

Approved_by_Biolante 16 февраля 2012, 20:21 # ↑

В Андроиде пользователя предупреждают, что приложение может получить доступ к телефонной книге перед его установкой.

–1

taliban 16 февраля 2012, 20:22 # ↑

А в айфоне не предупреждают?

Approved_by_Biolante 16 февраля 2012, 20:26 # ↑

А фиг его знает… Уже ничего про Айфон сказать не могу за неимением вышеупомянутого, ибо не помню. *развожу_руками*

Coffin 16 февраля 2012, 00:27 # ↑

А когда Dragon Dictation пытается использовать адресную кнуги, то выскакивает Алет с кнопкой «да» и «нет». Интересно — это из-за порядочности DD или Path накосячили что-то? :)

Davidov 15 февраля 2012, 23:28 # ↑

Под Андроид приложение без разрешения android.permission.READ_CONTACTS не сможет получить доступ к записной книжке. При установки приложения с такими правами пользователь получит уведомление.

bobermaniac 15 февраля 2012, 23:31 # ↑

Даже на андроиде это может быть воспринято как введение пользователя в заблуждение. Например, недавний инцидент с Твитером, который на iOS спрашивал у пользователя, можно ли ориентируясь на данные в его адресной книге, найти его друзей в твитере, а заодно пересылал и хранил у себя на сервере копии всех контактов.

То есть «читать контакты» и «переслать на сервер, хранить и обрабатывать контакты» семантически все-таки несколько разные вещи.

Davidov 16 февраля 2012, 00:37 # ↑

Согласен. Единственно, что не ясно — это каким образом возможно такое реализовать программно. Разве что вручную все приложения проверять.

bobermaniac 16 февраля 2012, 00:41 # ↑

Программно это реализовать принципиально невозможно, так как задача сводится к определению намерений, а она алгоритмически неразрешима.

Радикальное решение — запрет програмного доступа к адресной книге. Чуть менее радикально — работа с ней в защищенном поле через GUI ОС, не выдавая данные наружу. Еще менее радикально — предоставление специальных средств для простого создания локальных частичных разрешений, вроде как «выбор файла» в браузере, фактически создающий для удаленного сервера разрешение на чтение одного явно выбранного пользователем файла.

snusmumrik 19 февраля 2012, 22:24 # ↑

Или использовать proof-carrying code для верификации того, что код не сделает ничего запрещенного. Заметьте, что хотя автоматически доказать такое для произвольного кода нельзя, можно написать код так, чтоб это можно было доказать. А доказательство положить рядом с бинарником.

cdev 16 февраля 2012, 20:11 # ↑

Этого не достаточно.

Иногда нужна та программа, которая хочет доступ к контактам. Но давать ей доступ не хочется.
Иногда не нужно давать доступ ко всей книге, а только к одному указанному контакту.

Не зря CyanogenMod сделали пользовательский избирательный запрет прав приложения:
www.androidpolice.com/2011/05/22/cyanogenmod-adds-support-for-revoking-and-faking-app-permissions/

А для адресной книги возвращают фиктивные записи (иначе при просто запрете приложение валится).

Approved_by_Biolante 16 февраля 2012, 20:24 # ↑

Есть альтернатива для стандартных прошивок с рутом — LBE privacy guard (или как-то так). Это приложение позволяет ывставлять разрешения на чтение контактов, координат устройства, серийников, использование интернета и отсылку СМС, плюс может выводить список приложений, имеющих доступ к определенным функциям из набора.

egormerkushev 15 февраля 2012, 23:50 # ↑

Location service же можно отключить. Сделали бы так же — выключатели для каждого приложения, кому нужны данные из книги контактов, в Настройках.

kAIST 16 февраля 2012, 00:07 # ↑

Ну на android можно поставить для этого приложение. Но не узнаешь что там приложение сделает с твоей записной книжкой. Поищет что то там локально, или отправит все к себе на сервер для потрошения.

egormerkushev 16 февраля 2012, 00:11 # ↑

Так вот и тут не понятно всё равно будет, что приложение сделало.

kAIST 16 февраля 2012, 00:13 # ↑

Ну это не вина OS в любом случае. В связи с этим вопрос: неужели в app store не проверяется подобное при премодерации?!

Mezomish 16 февраля 2012, 19:11 # ↑

>Доступ к записной книге есть практически на любой платформе, тут вина этого самого социального сервиса.

Про Андроид прокомментировали выше, а на BlackBerry доступ к адресной книге осуществляется через отдельный контролируемый API, для получения доступа к которому нужно иметь специальный security ключ.

kreativf 16 февраля 2012, 00:42 #

А они в конгрессе давно с blackberry на iphone пересели? Я думал что в им можно использовать только blackberry.

–9

akawizzard 16 февраля 2012, 03:41 #

Андрось точно так-же без моего ведома передала на сервис гугла мои пользовательские данные. Почему никто не задаёт вопросов Гуглу? Почему на айоси автоматически в адресную книгу были добавлены мои контакты скайпа, контакты скайпа предлагаются в друзья на фейсбуке, через скайп можно звонить людям на мобильные телефоны → в фейсбуке предлагаются в друзья твои контакты. Я не программист, не знаю как организован процесс, но я назвал бы это беспределом, т.к. я разрешения на эти действия не давал. Конгресс США, пожалуйста, задай 9 вопросов скайпу, фейсбуку, андтроид ОС и Гуглу.

mtp 16 февраля 2012, 09:25 # ↑

Как уже сказали выше, в андроиде утечку данных можно заблокировать.

–5

akawizzard 16 февраля 2012, 11:55 # ↑

На айфоне тоже можно заблокировать утечку данных, не пользуясь этим приложением. С юридической точки зрения производители аппов защитились по тому-же принципу — это же можно отключить!
Но по-умолчанию оно включено, и 99% пользователей отправляет свои данные без ведома на то.
Я бы сказал что это равносильное краже данных действие, т.к. если пользователю не был предоставлен диалог предназначенный исключительно включению данной функции диалог, то пользователь информации о том, что куда-то что-то будет отправлено не заметит.

И ещё, согласно Дэну Ариэли, постановка вопроса «поставьте галочку чтобы выключить» вместо «поставьте галочку чтобы включить» напрямую влияет на принятие пользователем решения и практически исключает возможность отключения пользователем функции.
Кроме того, т.к. речь идёт о данных, то их одноразовой утечки вполне достаточно, а фактор «что это за функция и что она делает?» заставит любопытствующих как минимум один раз включить функцию.

Посему если при активации функционала отправки данных не высвечивается большое окно с угрожающей иконкой, и большим жирным текстом не заявляет «внимание, ваши конфиденциальные данные будут отправлены на сторонний сервер и будут доступны третьим лицам!», то возможность «заблокировать утечку» нужна как корове пятая нога — данные уже потеряны без ведома пользователя.

пы.сы. в апагее маразма на айфоне можно вообще режимом полёта пользоваться, выключив сим-карту, это ведь решит проблему.

punch 16 февраля 2012, 03:57 #

Это плохая новость для разработчиков. Ответной реакцией могут быть репрессии со стороны эппл в виде ужесточения премодерации.

wearymax 16 февраля 2012, 17:16 # ↑

… и повышения качества приложений. По сути 70% в appstore реально говно однотипное.

Disasm 16 февраля 2012, 08:58 #

Раз уж на то пошло, в bada 2.0 есть приложение, которое отправляет контакты на свой сервер «для улучшения качества распознавания голоса». По умолчанию опция отправки включена.

–7

Vertex 16 февраля 2012, 14:57 #

«Мы в облаках, детка». Такой ответ Конгрессу США подойдет?

"… почему не предусмотрено программной возможности её отключения." Потому что Apple это реализовала аппаратно, называется кнопка «вкл/выкл».

murka3000 17 февраля 2012, 05:53 #

«Ответ компании предлагается дать до 29 февраля.»

Эмм, а если не ответят?
Закроют Apple, объявят iPhone вне закона, а $100kkk раздадут голодным африканцам?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.