Темы
Разделы
Интересы
Top 20
 |
Несколько дней назад на Хабре упоминалось о том, что социальный сервис Path 2.0 благодаря внимательному программисту попался на том, что мобильный iOS-клиент сервиса занят пересылкой всей адресного книги смартфона на свои серверы без разрешения пользователя. Тогда инцидент был исчерпан тем, что руководство сервиса признало факт потенциальной угрозы приватности данных и пообещало исправить эту ситуацию в своих мобильных клиентах.
Однако же, по всей видимости, этот факт не прошёл даром для Apple. Сегодня члены конгресса США отправили в компанию на имя Тима Кука официальное письмо, в котором речь идёт как раз о вопросах безопасности данных, к которым имеет доступ iPhone. В нём говорится, что причиной официального обращения послужили жалобы и опасения пользователей после инцидента с Path, а суть письма заключается в следующем: если устройство в состоянии получить полный доступ к приватной информации без ведома на то пользователя, то каким образом Apple регламентирует эту способность iOS и каковы рекомендации для разработчиков относительно этой небезопасной функциональности?
Узнать подробности habrahabr.ru »
|
|
Бывшие на слуху в последнее время скандалы, преследовавшие Google, и связанные с тем, что поисковый гигант применял специальные «трюки» с cookie для обхода настроек безопасности браузеров Safari и Internet Explorer, а также инцидент с социальным сервисом Path, который без разрешения пользователей копировал всё содержимое адресной книги смартфона к себе на серверы, получили логическое следствие и, по-видимому, завершение.
Ещё в августе 2011 года генеральный прокурор штата Калифорния Камала Харрис (Kamala Harris) начала контакты с Apple, Google, Microsoft, RIM, Amazon и Hewlett Packard относительно соблюдения этими компаниями Online Privacy Protection Act, который применялся неизвестно как или вообще не применялся в практике работы этими компаниями с мобильными приложениями. Теперь же, очевидно, вследствие возникших скандалов с одним из крупнейших игроков рынка и опосредованно Apple, которой придётся даже давать официальные объяснения Конгрессу США, перечисленные выше компании приняли соглашение согласно которому, компании обязуются требовать от разработчиков включения в их приложения политик приватности, которые пользователь должен иметь возможность прочитать перед покупкой приложения.
Узнать подробности habrahabr.ru » | Не так давно на Хабре пробегала статья о сборке стенда для перехвата трафика между iPhone\iPad\iTunes и облачным сервисом iCloud. Статья была хорошая и всё в ней верно, но, как заметили в одном из комментариев, она легко заменяется одним предложением «поставьте Charles и добавьте его сертификат в доверенные». Результат будет тот же — мы увидим расшифрованный HTTPS трафик.
И вот что мы видим в логах Charles при синхронизации музыки с iCloud:
Читать дальше → habrahabr.ru » | 
На днях Apple запатентовала метод, который призван повысить безопасность данных пользователей, если, к несчастью, их устройство было потеряно или украдено.
В патенте под номером 2012/0005747 приводится следующее рассуждение: "… Если пароль для устройства или сложный или его трудно восстановить, то покупатель или вообще от него откажется или будет использовать слишком простой". Поэтому, в случае потери или кражи устройства, злоумышленник с большой долей вероятности получит неограниченный доступ к Macbook или iPhone без особых проблем.
Далее, рассуждают в Apple, поскольку покупатели чаще всего лишаются самих устройств, а не их «зарядок», то предлагается поступить следующим образом: зарядное устройство снабжается неким модулем памяти, который хранит или зашифрованный пароль или кодовую фразу («Как звали Вашу первую учительницу»). При включении злоумышленником краденного ноутбука при стандартном приглашении ввести пароль, он увидит помимо обычной кнопки подтверждения и кнопку «Забыл пароль», которая потребует от него подключить «зарядку», в которой сохранен или пароль или ключ кодовой фразы. Если это произойдет, то будет выполнена аутентификация с использованием данных подключенной «зарядки» и, очевидно, что с ноутбуком работает или законный хозяин или предусмотрительный вор, который смог украсть сразу всё у зазевашегося владельца.
Технология будет работать также и со смартфонами.
[Патент — pdf] habrahabr.ru » | ![Информационная безопасность / [Перевод] Mac Defender. Угроза для пользователей Apple](http://habreffect.ru/files/0c6/d25bca929/226015-apple-toxic_original.jpg)
Mac-юзеры не особо волнуются по поводу вредоносных программ, верно? На протяжении многих лет так и было, хотя эта тема всегда поднималась в ходе дебатов Apple и экспертов в области информационной безопасности. Эксперты предсказывали увеличение числа вредоносных программ параллельно увеличению доли Apple на рынке персональных компьютеров.
Судя по новым данным, это уже происходит. Читать дальше → habrahabr.ru » | Известная платформа для создания и тестирования эксплоитов Metasploit от HD Moore обновилась до версии 3.7.0. Новый релиз примечателен тем, что в него впервые включён пост-эксплоит для получения информации с Apple iOS (модуль Apple iOS Backup File Extraction собирает историю звонков, SMS, картинки, координаты GPS и т.д.).
Пост-эксплоит — это инструмент для действия после проникновения в систему. Например, в нашем случае с iOS достаточно проникнуть в клиентскую систему, на которой есть доступ к iTunes, с помощью одного из других модулей, после чего уже запускать этот инструмент. То есть непосредственно Apple iOS не взламывается.
Читать дальше → habrahabr.ru » |
Сегодня на сайте Apple.com дан официальная ответ всем пользователям относительно файла Consolidated.db.
Ознакомиться на языке оригинале можно на этой странице
Если попробовать уложить все в одно два предложениея, то получится вот примерно так:
В«Мы не следим за вами, информация собирается для ускорения поиска вашего местоположения.
Информация собирается абсолютно анонимно и никому не передается.В»
Upd: Нашел перевод на русский habrahabr.ru » |
|
| |
|