Apple случайно раскрыла систему сбора данных в macOS

12 ноября Apple выпустила macOS Big Sur — обновление операционной системы для компьютеров Mac. Сразу после его запуска на серверах компании произошел масштабный сбой, раскрывший незащищенную систему сбора данных пользователей.

В течение достаточно долгого периода времени желающие установить macOS 11 не могли этого сделать из-за проблем в дата-центрах Apple. Это послужило причиной небольшого расследования со стороны разработчика-энтузиаста Джеффри Пола, в результате которого он выяснил, что все настольные ОС корпорации, начиная с Mojave, собирают данные пользователей и передают их третьим лицам в незащищенном виде (по протоколу HTTP).

По словам Пола, Apple передает следующие данные: дату, время, модель компьютера, провайдера сети, город, хэш приложений.

Apple (или кто-то еще) могут рассчитать хэш для популярных программ в App Store, Creative Cloud или браузере Tor.

«Это значит, что Apple в курсе, когда вы дома, когда вы на работе. Какие приложения вы используете и как часто. Они знают, что за программа запущена на вашем компьютере в эту минуту. Они знают, когда вы у своего приятеля вышли в интернет через Wi-Fi или открыли Tor в кафе через дорогу», — отметил Пол.

Ситуацию усугубляют еще четыре факта:

1. Запрашиваемая Apple информация передается на ее серверы в незашифрованном виде по HTTP. К ней может получить доступ кто угодно – от провайдера до хакера в одной с вами Wi-Fi-сети.
2. Информация передается в стороннюю CDN (сеть доставки контента) компании Akamai.
3. С октября 2012 года Apple предоставляет доступ к пользовательским данным правоохранительным органам США по первому запросу.
4. В последней версии ОС сторонние приложения не могут влиять на системные процессы, поэтому заблокировать подключения со стороны корпорации и остановить передачу личных данных невозможно даже с применением специализированного ПО.

Тем не менее представители компании утверждают, что никогда не связывали передаваемые параметры с конкретными пользователями и устройствами. Эти системы необходимы для поиска вредоносного программного обеспечения и утилит с истекшими сертификатами. Также компания пообещала удалить из списка собираемых данных IP-адреса пользователей и предоставить возможность полностью отказаться от сбора и передачи данных.