Некоторые владельцы iPhone, недавно обновившие свои устройства до iOS 13, столкнулись с невозможностью авторизации в некоторых приложениях, в том числе в банковских сервисах и менеджерах паролей. Как сообщает 9to5Mac, причиной проблемы является ошибка в iOS 13, затрагивающая старые версии iPhone с датчиками Touch ID. Из-за ошибки окно авторизации не появляется, и пользователь ничего не может с этим поделать.
Проблема затрагивает приложения, использующие для авторизации пользователя датчик отпечатка пальца, и присутствует в версиях iOS, начиная от 13.0 и заканчивая 13.1.1. В частности, Touch ID для авторизации пользователей используют приложения банков Chase, Wells Fargo, Barclays и Santander, менеджер паролей 1Password и приложения, предлагающие дополнительные настройки безопасности, наподобие Apollo Reddit.
На самом деле окно авторизации никуда не исчезло, его просто не видно. Похоже, по какой-то причине API не отображает его корректно поверх приложения. В качестве решения проблемы 9to5Mac предлагает открыть нужное приложение и приложить палец к кнопке «Домой», даже если окно авторизации не отображается на экране. Также можно слегка встряхнуть устройство – движение сделает окно авторизации снова видимым.
С проблемой столкнулись владельцы iPhone SE, iPhone 6s, iPhone 6s Plus, iPhone 7, iPhone 7 Plus, iPhone 8 и iPhone 8 Plus (более старые модели iPhone с Touch ID не могут быть обновлены до iOS 13).
Браузер Safari в течение долгого времени отправлял данные в систему «Безопасный просмотр» (Safe Browsing), разработанную Google, чтобы защитить пользователей от фишинга. Теперь же часть этой информации также получает китайский технологический гигант Tencent.
Пользователи в США обнаружили, что iOS 13, а также, возможно, более ранние версии ОС (начиная с 12.2), отправляет некоторые данные Tencent Safe Browsing – помимо системы Google.
Для китайских пользователей Apple интегрировал Tencent Safe Browsing в Safari после соответствующего заявления на WWDC 2017. Теперь же, похоже, компания запустила эту функцию и для других стран.
Настораживает пользователей тот факт, что Tencent сотрудничает с китайским правительством, а собранные им данные могут использоваться для слежки и деанонимизации диссидентов.
Apple признаёт, что отправляет IP-адреса некоторых пользователей в Tencent в разделе «О Safari и конфиденциальности».
Там отмечается, что:
«Перед посещением веб-сайта Safari может отправить информацию, рассчитанную по его адресу, в Google Safe Browsing или Tencent Safe Browsing, чтобы проверить, не является ли сайт мошенническим. Эти провайдеры безопасного просмотра могут также регистрировать ваш IP-адрес».
При этом опция «Внимание! Фальшивый сайт» включена по умолчанию, а это значит, что пока пользователи её не выключат, во время использования Safari их IP-адреса могут регистрироваться Tencent или Google.
После обновления macOS с версии Mojave до Catalina многие пользователи столкнулись с частичным или полным удалением данных приложения «Почта». Об этом в своем блоге рассказал разработчик плагинов EagleFiler и SpamSieve для приложения «Почта» в macOS Майкл Цай (Michael Tsai).
По словам разработчика, пользователи жалуются на то, что при перемещении электронных писем из одного ящика в другой (с помощью как перетаскивания, так и скриптов AppleScript), поле «Тема» становится пустым. Если письмо было перемещено в серверный электронный ящик, для других устройств оно отображается как удаленное. В итоге на самом компьютере письмо также исчезает.
Проблема является весьма серьезной, считает Цай, поскольку пользователь так и не узнает о ней, если специально не проверит соответствующее письмо в почтовом ящике. Поскольку проблема синхронизирована с сервером, она распространяется и на другие компьютеры и устройства. Полагаться на резервные копии также не приходится, так как данные в «Почте» постоянно меняются, и нет простого способа объединить восстановленные данные с сообщениями, полученными с момента последнего резервного копирования.
С чем связана проблема, с самим приложением «Почта», почтовым сервером или macOS, пока неясно. Apple выпустила версию macOS Catalina 10.15.1 для разработчиков в пятницу, 11 октября, однако неизвестно, исправлена ли в ней проблема с удалением писем.
Владельцы старых iPhone должны до 3 ноября установить на свои устройства iOS 10.3.4.
Похоже, Apple решила во что бы то ни стало заставить пользователей устаревших версий iOS установить последние обновления, даже если они сами этого не хотят. Компания разослала владельцам iPhone 5 уведомления о том, что до 3 ноября нынешнего года на их устройствах должна быть установлена версия iOS 10.3.4, в противном случае они больше не смогут пользоваться браузером, почтой, магазином App Store и хранилищем iCloud.
«Для того чтобы продолжать пользоваться App Store, iCloud, почтой, Сетью и другими сервисами, обновите iOS до версии 10.3.4 до 3 ноября 2019 года. Если до 3 ноября 2019 года iPhone 5 не будет обновлен, для получения обновлений вам придется восстанавливать резервные копии через Mac или ПК, поскольку функции обновления программного обеспечения по воздуху и через резервные копии iCloud перестанут работать», - говорится в уведомлении.
Как пояснили в компании, после 3 ноября появившаяся еще в апреле проблема со сбросом времени GPS отключит функции, требующие для работы правильные дату и время. Дело в том, что работа сервисов полагается на точное время и дату, исчисляемые количеством недель, которое записывается в виде 10-битных данных. Каждые 20 лет эти значения обнуляются, что вызывает проблемы на более старых устройствах, не способных обрабатывать изменения.
Впервые проблема дала о себе знать в апреле нынешнего года. Тогда Apple выпустила обновление, которое должно быть установлено до 3 ноября. Патч обеспечит правильную работу часов и GPS после назначенной даты и предотвратит сбой важных функций.
Другие устаревшие устройства от Apple, в том числе iPad четвертого поколения, также подвержены проблеме, однако у них будет отключена только функция GPS, а остальные сервисы продолжат работать.
В Apple Mail в macOS обнаружена недоработка, позволяющая видеть электронные письма в файле базы данных в незашифрованном виде.
Компания Apple неоднократно акцентировала внимание на том, что главным ее приоритетом является конфиденциальность и безопасность пользователей, но, как оказалось, не все ее продукты так уж надежны. IT-специалист Боб Гендлер (Bob Gendler) обнаружил недоработку в почтовом клиенте Apple Mail в macOS, которая позволяет видеть электронные письма в файле базы данных в незашифрованном виде.
Гендлер выявил уязвимость, когда пытался выяснить, как macOS и Siri предлагают информацию пользователям. В ходе анализа он обнаружил процесс под названием suggestd, запущенный системным процессом LaunchAgent com.apple.suggestd, а также каталог Suggestions в папке «Библиотека», содержащий большое количество файлов, в том числе файлы баз данных. В этих базах хранится информация от приложения «Почта» и других программ, используемая для улучшения механизма предложений macOS и Siri.
«Я обнаружил, что файл базы данных snippets.db в папке Suggestions содержал мои электронные письма. Более того, моя почта, зашифрованная по стандарту S/MIME, содержится в совершенно незашифрованном виде. Даже если Siri отключена на Мас, сообщения все равно хранятся незашифрованными», - Гендлер.
Он также обнаружил базу данных entities.db, содержащую информацию об именах, номерах телефонов и адресах электронной почты всех, с кем контактировал пользователь.
Как отмечается, проблема касается исключительно пользователей, отправляющих письма через Apple Mail с использованием шифрования в приложении и не применяющих шифрование по технологии FileVault непосредственно в macOS. Таким образом, получив доступ к файловому хранилищу и базе данных, злоумышленник может увидеть любые письма в незашифрованном текстовом формате.
Специалист проинформировал Apple о проблеме еще 29 июля нынешнего года, однако спустя более трех месяцев уязвимость все еще остается актуальной. Компания пообещала устранить проблему в будущем обновлении для macOS, однако конкретные сроки выпуска исправления не указала.
Не совсем Apple, но Facebook включает камеру, когда владельцы iPhone листают ленту новостей в соцсети.
Facebook активно использует камеру iPhone в то время как пользователь просматривает свою ленту новостей. Первым о необычном поведении iOS-приложения Facebook сообщил пользователь Twitter Джошуа Мэддакс (Joshua Maddux). Как следует из опубликованного пользователем видео, камера его смартфона работает в фоновом режиме, пока он просматривает ленту новостей в соцсети.
О проблеме стало известно благодаря багу, из-за которого захватываемое камерой изображение видно через тонкую полоску с левой стороны экрана, когда пользователь открывает фото в приложении и смахивает вниз.
«Обнаружил в Facebook проблему безопасности и приватности. Когда приложение открыто, активно используется камера. Я обнаружил в приложении баг, позволяющий увидеть за лентой новостей включенную камеру. Обратите внимание, моя камера направлена на ковер», - сообщил Мэддакс.
По словам пользователя, ему удалось воспроизвести баг на пяти iPhone под управлением iOS 13.2.2, но на устройствах с iOS 12 он не воспроизводится. «Отмечу, что на iPhone под управлением iOS 12 камера не видна (однако это не означает, что она не используется)», - отметил Мэддакс.
Facebook включает камеру только в том случае, если пользователь дал приложению разрешение на ее использование. Если нет, приложение пытается получить доступ к камере, но iOS эти попытки блокирует.
Является ли использование камеры предусмотренным действием, или в работу iOS-версии Facebook просто закралась ошибка, пока неизвестно. Похоже, проблема затрагивает только iPhone. Специалисты издания The Next Web попытались воспроизвести ее на Google Pixel 4 под управлением Android 10, но безуспешно.
Об аналогичной проблеме предупреждал исследователь безопасности Феликс Краузе (Felix Krause) еще в 2017 году. По его словам, способ, которым программное обеспечение Apple предоставляет доступ к камере и видеозаписи, дает приложениям возможность шпионить за пользователями без каких-либо уведомлений или предупреждений.
В Facebook пока никак не комментируют сообщение Мэддакса.
Флагманский смартфон от Apple уличен в активности, которую его владельцы ни за что не одобрили бы. Как сообщает KrebsOnSecurity, iPhone 11 Pro периодически пытается собирать данные о местоположении пользователей, даже если в настройках приложений и системных служб функция сбора данных отключена.
Согласно политикам конфиденциальности Apple для геолокационных служб iPhone, устройство «периодически отправляет Apple геолокационные данные ближайших точек доступа Wi-Fi и базовых станций (где поддерживается устройством) в анонимной и зашифрованной форме для расширения общественно пополняемой базы данных точек доступа Wi-Fi и базовых станций».
В политиках конфиденциальности Apple разъясняет, как пользователи могут отключить сервисы, использующие геолокационные данные. Тем не менее, журналист Брайан Кребс обнаружил, что в iPhone 11 Pro и, возможно, других моделях iPhone 11 некоторые системные службы невозможно отключить, не отключив при этом основной геолокационный сервис. По словам Кребса, его открытие указывает на существование уязвимости в защите конфиденциальности в iPhone Pro или iOS 13, или и там и там.
В прошлом месяце Кребс отправил Apple видео, демонстрирующее, как телефон продолжает собирать геолокационные данные, если приложениям и системным службам в настройках запрещено запрашивать подобную информацию, но включен главный геолокационный сервис.
Как указано в политиках конфиденциальности Apple, когда пользователь отключает геолокационные сервисы, слева от индикатора заряда батареи появляется диагональная стрелка вверх. Однако, судя по видео Кребса, устройство все равно периодически запрашивает данные, даже если системные службы отключены, и стрелка по-прежнему отображается.
«Мы не видим в этом никаких реальных угроз для безопасности. Предполагается, что значок геолокационных сервисов появляется в строке состояния, когда геолокационные сервисы включены. Значок отображается для системных служб, не имеющих переключателя в настройках», - сообщил инженер Apple в ответ на письмо Кребса.
Похоже, компании Apple так и не удалось довести iOS 13 до ума. Сразу после релиза пользователи стали жаловаться на проблемы с персональной точкой доступа, дублированием электронных писем, синхронизацией голосовых напоминаний Apple Watch, уведомлениями Fitbit и Siri.
Основатель Telegram Павел Дуров прокомментировал решение компании Apple отказаться от своих планов разрешить пользователям iPhone использовать сквозное шифрования персональных данных в iCloud.
«iCloud теперь официально является инструментом для слежки. Приложения, полагающиеся на него для хранения ваших личных сообщений (такие как WhatsApp), являются частью проблемы», — сообщил Дуров в своем Telegram-канале.
Комментарии относятся к решению Apple отказаться от планов разрешить пользователям осуществлять сквозное шифрование резервных копий своих данных в iCloud. Напомним, ранее после длительных переговоров Apple с ФБР о своей работе по обеспечению безопасности iPhone, компания приняла решение отменить планы по сквозному шифрованию. Техногигант не хотел навлечь на себя гнев государственных чиновников в связи с защитой преступников или сокрытием данных от правительства.
Представители Apple и ФБР отказались комментировать данную ситуацию.