Энтузиаст обнаружил потенциальную дыру в безопасности iOS

Энтузиаст обнаружил очередную потенциальную дыру в безопасности iOSВ июне у правительства США возник вопрос к Apple касательно лицензионного соглашения, предлагаемого пользователям iPhone. В частности, вопрос вызвал пункт, согласно которому Apple способна отследить местоположение телефона. Тогда компания из Купертино отметила, что в реальном времени она этого сделать не может, а любые операции касательно фоновой передачи данных если и проводятся (в качестве теста или эксперимента), то совершенно анонимно и никакой каталогизации личной информации пользователей не ведется. Тем не менее, разработчики стороннего ПО так не ограничены государством, как Apple.

Например, системный администратор Университета Бакнелла в Пенсильвании (Bucknell University, США) Эрик Смит (Eric Smith), он же двухкратный чемпион конкурсов, проводимых на ежегодной хакерской конференции DefCon, ради эксперимента проверил 57 наиболее популярных в США приложений из App Store и выяснил, что они собирают и отправляют на удаленные сервера не только сопутствующие данные из телефона пользователя. Также в формате обычного текста высылалась информация о UDID (Unique Device Identifier — уникальный идентификатор устройства) телефона и личные данные пользователей. Хотя эти сведения уходили по зашифрованному по алгоритму SSL каналу, то есть в ходе передачи они были защищены. Такую информацию собирают Amazon, Chase Bank, Target, Sam’s Club и другие менее известные сервисы. Естественно все это делается с разрешения пользователя, который принимает условия пользовательского соглашения, но обычно их никто не читает.

Смит призывает все-таки обращать внимание на эти документы, чтобы знать, какие именно данные может передать программа на сервер разработчика. Кстати, по тем сведениям, что собирают проверенные системным администратором приложения, можно легко определить местоположение пользователя, причем как по GPS-координатам, так и по IP-адресу, если iPhone подключен к точке доступа Wi-Fi. Кроме того, Смит обратил внимание на тот факт, что если официальные приложения могут собирать столь важные личные данные в фоне, то эта функция доступна и неофициальному ПО тоже. Фактически это потенциальная дыра в системе безопасности iOS.