В iOS 14 произошли серьёзные изменения, касающиеся защиты персональной информации пользователей. Эти изменения укладываются в общую тенденцию по защите приватности. В то же время часть изменений, анонсированных в первых сборках iOS 14, появилась лишь в недавно вышедшей iOS 14.3, а некоторые не были реализованы до сих пор. В этой статье мы рассмотрим самые важные изменения, произошедшие в iOS 14.0 – 14.3 в области защиты персональных данных.
Приблизительное местонахождение
Начнём обзор с тех изменений, которые вошли в официальную версию iOS 14.0.
Вероятно, самым интересным нововведением в iOS 14 является ограничение на доступ к данным к точному местоположению пользователя. Приложениям, которые пытаются отслеживать местоположение пользователя, теперь можно несколько ограничить доступ без потери функциональности, разрешив таким приложениям доступ к приблизительному местоположению вместо точного. Насколько «приблизительному»? На WWDC 2020 говорилось о площади порядка 10 квадратных миль, что соответствует кругу с приблизительно трёхкилометровым радиусом.
Почему этому придаётся такое значение? Не секрет, что многие разработчики приложений и игр (особенно – бесплатных) собирают максимум доступной информации о пользователе с целью её последующей перепродажи. Для этого используются как программные средства собственной разработки (например, Rovio), так и стандартизованные SDK (например, те, которые поставляют Facebook, Google и несколько других компаний-медиаторов). В созданный профиль в числе прочего включаются и данные о точном местоположении пользователя, если пользователь согласился предоставить доступ к локации. Такой доступ пользователи часто предоставляют даже таким приложениям, как Microsoft OneDrive, не говоря уже о прогнозе погоды или приложений для покупки билетов. Многие пользователи готовы предоставить самые невероятные права даже калькулятору, казуальной игре или сторонней клавиатуре.
Использование встроенных SDK для слежки за пользователем в единственном приложении не даст разработчику SDK большого массива данных: iOS и в предыдущих версиях ограничивает частоту опроса датчиков местоположения фоновыми процессами. В то же время приложений у пользователя может быть установлено множество, и в большинстве из них будет встроено несколько «шпионских» SDK одних и тех же производителей (от Facebook до компаний, названия которых обычному пользователю незнакомы). В результате постоянные опросы датчиков местоположения множеством приложений с одними и теми же SDK дают достаточно чёткую и подробную картину передвижений пользователя.
В Apple утверждают, что приложениям с местными новостями или прогнозом погоды достаточно огрублённых данных. С нашей точки зрения разработчики Apple совершенно правы; более того, данные приблизительного местонахождения можно огрубить ещё сильнее без потери в точности прогноза погоды или местных новостей.
Как отреагировали производители «шпионских» SDK? С их точки зрения приблизительное местоположение лишь немногим лучше полного запрета доступа к данным геолокации: и Facebook, и Google, и многие другие медиаторы способны вычислить приблизительное местонахождение пользователя по одному лишь IP адресу.
Ограниченный доступ к медиатеке
В iOS 14 пользователь сможет ограничить доступ приложений к медиатеке. Если в предыдущих версиях iOS доступ к медиа-файлам выдавался приложениям по принципу «всё или ничего», то теперь пользователь может как выдать приложению доступ ко всей медиатеке (например, для приложений Dropbox, OneDrive, которые должны синхронизировать все фотографии с облаком), либо только к отдельным снимкам. Доступ к отдельным снимкам полезен, если всё, что пользователю нужно – это послать в чат конкретную фотографию или отредактировать снимок в «интеллектуальном» редакторе.
В первую очередь от нововведения пострадают компании, создающие профили пользователей по всему массиву доступных данных; во вторую – приложения, вольно обращающиеся с персональными данными. Выиграют же от этого простые пользователи, у которых появится лишний инструмент, позволяющий проконтролировать возможные каналы утечек приватных фото и видео.
Впрочем, на эту новость приходится и другая: ещё в начале года Apple внедрили практику сканирования фотографий пользователей, которые попадают в iCloud. Отметим, что Microsoft, Google, Verizon, Twitter, Facebook и Yahoo точно так же сканируют попавшие к ним в облако фотографии в поисках компрометирующих материалов. Так, в отчёте Facebook transparency reportза ноябрь 2020 отмечается сорокапроцентный рост ограничений, основанных на местных законах; в предыдущих отчётах приводилась цифра в 84 миллиона нелегальных фотографий и видеороликов.
Исправлена проблема с конфиденциальностью буфера обмена
Читать полностью: https://blog.elcomsoft.ru/2020/12/zashhita-personalnoj-informaczii-v-ios-14-3/