Apple многое делает для того, чтобы обеспечить безопасность своих пользователей, периодически внедряя в iOS новые защитные механизмы, даже если они противоречат представлениям рынка о правильном ведении бизнеса. Просто компания выстроила такую модель взаимодействия с клиентом, при которой она практически не зависит от его данных и, в отличие от других, может спокойно обходиться без них. Однако сбор и обработка пользовательских данных не всегда связаны со слежкой. Правда, когда Apple начинает собирать хоть какие-то сведения о нас, мы тут же принимаем это в штыки. Например, как в ситуации с автоматическим входом в приложения.

Пользователь Reddit с ником blackmolecule выяснил, что iOS сохраняет данные приложений даже после удаления. Причём это не какие-то файлы кэша, а данные авторизации, с помощью которых устройство может автоматически войти в ранее созданную учётную запись приложения в случае переустановки.

Приложение само входит в аккаунт

По словам blackmolecule, он обнаружил эту особенность iOS при переустановке приложения 9gag. Пользователь скачал приложение себе на устройство заново после удаления и, открыв его, обнаружил, что оно автоматически выполнило вход в его учётную запись без предварительного запроса пароля.

«Сначала я подумал, что приложение просто хранит данные авторизации в iCloud или «Связке ключей». Но, когда я проверил хранилище iCloud и «Связку», то не обнаружил там сохранённой учётной записи. Так я понял, что бывают приложения, которые могут хранить свои данные в локальной связке ключей, и iOS не удаляет их, даже если они не синхронизируются с облаком. Они могут сохранять на устройстве информацию об учётной записи, а, когда обнаруживают совпадение идентификатора, производят вход», — написал blackmolecule.

Очевидно, что данные такого рода хранятся где-то в долгосрочной памяти, поскольку избавиться от них позволяет только полный сброс устройства до заводских настроек. Примерно таким же образом работают куки в браузере, но в данном случае всё куда круче, потому что приложение запоминает вас и ваше устройство и продолжает помнить даже после удаления. Но я не мог написать об этом, не убедившись в том, что всё это правда.

Чтобы проверить слова blackmolecule, я попробовал удалить несколько приложений и установить их заново. Мне хотелось удостовериться, что то, о чём он говорит, — правда. Я удалил приложения Twitter, Googds, More.tv, 1.1.1.1 и Instagram, однако ни одно из них при переустановке не смогло пройти автоматическую авторизацию.

Проблемы безопасности iOS

Поэтому я специально скачал 9GAG, авторизовался в нём, а потом удалил, ни на что особенно не рассчитывая. Но каково же было моё удивление, когда при повторной установке приложение автоматом вошло в мой аккаунт, с которого я проходил авторизацию в первый раз.

Получается, что действительно есть такие приложения, которые могут сохранять на устройстве своего рода супер-куки, по которым распознают его и авторизуются автоматически. Это действительно серьёзный недостаток безопасности по нескольким причинам:

• Мы не знаем наверняка, где хранятся эти данные, и не можем их удалить;
• Если приложение само узнаёт устройство, вероятно, оно может передать данные авторизации куда-то ещё;
• Если мы продаём устройство, не сбросив его до заводских настроек, новый владелец сможет попасть в наш аккаунт;
• Таким образом очень удобно отслеживать устройства в любых целях, необязательно рекламных;
• Автоматичекая авторизация независимо от воли пользователя – в принципе довольно сомнительная история.

Другое дело, что всё это — не баг, а своего рода фича. Apple не даёт разработчикам возможность взаимодействовать с уникальным идентификатором устройства, но должна была дать им какую-то возможность идентифицировать пользователей. Это может быть нужно в самых разных сценариях, но самый простой — определение тех, кто уже устанавливал приложение, на случай, если они повторно попытаются получить бонус за установку. Поэтому, даже если вы меняете номер телефона, почту и банковскую карту, приложения распознают вас и не позволяют применить скидку или другую акцию для новорегов.

На самом деле это «открытие» — прекрасная иллюстрация старой шутки про то, что «когда ты не знаешь физику, твоя жизнь наполнена чудесами и магией». То, что информация в Keychain сохраняется при удалении приложения, не новость где-то со времён iOS 10. Таким образом Apple отдаёт контроль за хранением этих данных во власть разработчиков, которые самостоятельно решают, как им поступать, исходя из специфики приложения. А для самых параноидальных пользователей можно посоветовать использовать функцию logout в приложении перед его удалением. Хотя и тут нет никакой гарантии, кроме надежды на разумность автора программы, — объяснил Павел Дмитриев, разработчик PostIndustria.com

Очевидно, что в компании просто не предусмотрели, что разработчики будут пользоваться этим механизмом в другом ключе, нежели задумывалось первоначально. В результате из-за неправильных действий создателей приложений, которые неправильно взаимодействуют со Связкой ключей, мы имеем то, что имеем, подвергая себя и свои данные опасности. Поэтому, полагаю, будет справедливо требовать от Apple внедрения в iOS специальных механизмов, которые позволят обнаруживать эти «супер-куки», удалять их и запрещать автоматическую авторизацию.

Источник: appleinsider.ru