Продукты Apple и забота о безопасности

Компания Apple уделяет довольно серьезное внимание безопасности своих пользователей, применяя для этого не только стандартные приемы и правила, но и свои собственные решения. Каждый год вендор выделяет огромный бюджет на разработку и совершенствование своих технологий по защите от киберугроз.

Но, как показывает статистика по расследованиям киберпреступлений, не всегда эти нововведения улучшают защиту пользователей, а в некоторых случаях и вовсе помогают мошенникам уходить от ответственности. На практике мы видим, как забота о приватности, возведенная в крайнюю степень, приводит к тому, что Apple защищает данные, скорее, от правоохранительных органов, нежели от криминальных субъектов.

Насколько защита соответствует стандартам для банковских организаций? И какие последствия могут быть для компании при внедрении таких технологий, которые помогают злоумышленникам? Давайте рассмотрим эти вопросы внимательнее.

Какова стратегия безопасности Apple по защите данных пользователей?

Существуют несколько принципов, которые характеризуют политику защиты данных пользователей Apple.

Первый – обработка данных только на устройстве пользователя

Сегодня киберзащита реализуется не только на уровне программ, но и на аппаратном уровне. Большие данные обрабатываются с использованием облачных вычислений, и это создаёт преграды для конфиденциальности пользователей. Именно поэтому Apple упрощает данный процесс, обрабатывая данные на устройстве с применением своих наработок.

Например, в приложение «Фото» встроена очень мощная нейросеть, которая является основой поисковой системы. Она позволяет осуществлять умный поиск по фотографиям, находить изображения с конкретными объектами.

Биометрические данные, используемые для идентификации в устройствах, хранятся в специальном разделе процессора Secure Enclave, а для обучения Siri распознаванию голосов используется методика федеративного обучения. Её суть в том, чтобы не отправлять запросы пользователя на сервера, а объединить все смартфоны в один и производить нужные вычисления, используя их мощности.

Второй – минимизация данных

Apple ограничивает доступ к данным владельцев iPhone не только сторонних приложений, но и своих собственных. Многие интернет-сервисы, собирая данные, формируют цифровые профили пользователей, чтобы, в зависимости от потребностей и привычек, предлагать целевую рекламу самых разных продуктов. Система Apple не позволяет это делать, в большинстве случаев задействуя случайные идентификаторы, которые нужны для обеспечения функционала, но никак не привязаны к определенной личности.

Третий принцип – комплексность защиты

На каждом этапе использования iPhone вы защищены разнообразными средствами, начиная со входа, где безопасность обеспечивает биометрическая технология Face ID. При физической краже устройства и попытке его взлома злоумышленник не сможет получить доступ к данным, которые могут быть стерты после десяти неудачных попыток входа. Даже строка браузера Safari предотвращает сбор данных на уровне операционной системы.

В iPhone есть индикатор, который показывает, какое приложение имеет доступ к камере и микрофону. Когда данные уходят за пределы любого устройства, в рамках приложений Apple они передаются исключительно в зашифрованном виде, а другие приложения обязательно спросят разрешение на их обработку с полной информацией, и то, как они будут их использовать.

Каким образом Apple защищает персональные данные пользователей?

В каждой новой версии iOS и macOS Apple старается усилить защищенность данных и усложнить доступ к ним для третьих лиц. Например, в браузере Safari впервые появилась возможность блокировать сторонние файлы cookie по умолчанию. После выхода iOS 11 и macOS High Sierra есть запрет отслеживания рекламодателями. Владельцы iPhone 5s, iPad Air и более поздних устройств получили возможность блокировать отслеживание действий, которые были встроены компаниями Google и Facebook в кнопки лайков.

В IOS строго ограничено количество версий устройств, размеров экрана, операционных систем. Устройства одной и той же модели практически не имеют различий между собой, а уникальных параметров, которые подходят для формирования отпечатка – немного.

Какую пользу эта политика по защите данных пользователей приносит мошенникам?

Используя iPhone, мошенники получают преимущество – Apple старается не предоставлять данные пользователям сайтов и приложений. Например, в Apple Pay юзеры не оставляют никаких сведений о своей банковской карте — вся нужная информация зашифровывается в уникальный ID, а для каждого платежа создается уникальный код безопасности. Это позволяет злоумышленнику минимизировать свой цифровой след и позволяет ему оставаться более анонимным.

Что имеется в виду? Например, при совершении транзакции через Apple Pay вендор гарантирует, что сохранит данные о ней: сумму, дату. А некоторая информация о личности может передаваться по зашифрованным каналам – ключам для расшифровки, к которым имеет доступ только верифицированный пользователь или магазин. В свою очередь, подобная анонимность превращается в некоторые трудности для банковских организаций.

Несмотря на то, что с помощью цифрового отпечатка нельзя получить доступ к конкретной личной информации, компании могут использовать его в личных целях. Именно поэтому Apple реализовала в iOS 12 в Safari блокировку отслеживания действий по цифровому отпечатку. В iOS 14.5 Apple запретила использовать свои рекламные SDK для создания цифрового отпечатка пользователя.

Что такое цифровой отпечаток?

Цифровой отпечаток — это совокупность сведений об устройстве, одном из его компонентов или компьютерной программе, которая позволяет с высокой степенью точности отличить его от других. Она представляет собой последовательность данных о конфигурации приложения, используемом оборудовании, настройках сети и т. д. Цифровой отпечаток применяется для удаленной идентификации объекта при его подключении или авторизации в какой-либо системе.

Сбор данных для цифрового отпечатка называется фингерпринтингом и может производиться как скрытно от пользователя, так и с его согласия.

На сегодняшний день существует несколько видов отпечатков и методов их сбора. Вот основные из них:

• по User-Agent (включая программное обеспечение, операционную систему, версии ПО и многое другое);
• по языку браузера (русский, украинский, английский и любой другой);
• по часовому поясу;
• по размеру экрана и его цветовым параметрам (глубина цвета, например);
• по поддерживаемым технологиям HTML5;
• по наличию настроек Do Not Track;
• по плагинам и их характеристикам;
• по шрифтам, их прорисовкам (которые зависят от многих параметров: процессора, видеокарты, предустановленных программ, библиотек и других).

Примером цифрового отпечатка может служить: «gh5d443ghjflr123ff556ggf». Эта строчка из случайных букв и цифр помогает серверу узнать вас, ассоциировать ваш браузер и ваши предпочтения с вами. Действиям, которые вы совершаете онлайн, будет присвоен примерно тот же код. Так, если вы зашли в Twitter, где есть какая-то информация о вас, все эти данные будут автоматически связаны с тем же идентификатором.

Какими документами регулируется сбор и обработка цифровых отпечатков?

В настоящее время группой ТК-122 разрабатывается стандарт, который призван прояснить моменты при обработке, передаче и хранении цифровых отпечатков. В данном процессе также принимают участие сотрудники RTM Group.

Зачем он нужен? Стандарт представляет собой набор рекомендаций, которые направлены на обеспечение безопасности для организаций банковской системы РФ при мониторинге и контроле идентификации пользовательских цифровых отпечатков, при дистанционном предоставлении услуг, с целью выявления подозрительных действий со стороны пользователя организацией БС РФ.

Помимо этого, также существует аналогичный стандарт EVM 3D secure, созданный организацией EVMCo.

Какие цели выделяет стандарт для банковской сферы?

Данный стандарт выделяет следующие цели, для которых может использоваться цифровой отпечаток пользователя:

• выявление фактов мошенничества, кражи защищаемой информации;
• определение цепочек связанных операций по переводу денежных средств, совершенных без согласия клиента;
• обнаружение устройств, неоднократно задействованных при реализации компьютерных атак/инцидентов, в том числе, связанных с вредоносным воздействием на узлы компьютерной сети (боты) и атаками типа «отказ в обслуживании» (DDoS-атаки).

Приложение банковской организации опрашивает устройство на предмет уникальных настроек и параметров, сведений о конфигурации аппаратного обеспечения. Впоследствии полученная информация объединяется в JSON, а затем хэшируется – полученный результат передаётся в банковскую организацию для последующего применения и идентификации пользователя.

Это позволяет сделать транзакцию более прозрачной и безопасной как со стороны банка, так и со стороны пользователя.

Почему Apple не соответствует стандартам сбора? И чем это может грозить для компании?

Отметим, что стандарты по хранению и обработке цифровых отпечатков обязаны распространяться на все банковские приложения, относящиеся к ЦБ РФ. Стандарты обязывают передавать данные для банковских приложений с данными, которые компания Apple не может разглашать в силу политики конфиденциальности пользователя — это его цифровые отпечатки в хэшированном виде.

В свою очередь, это может гарантировать, что в ближайшее время такое несоответствие усугубит ситуацию с мошенничеством на платформе Apple. Не предоставив некоторые цифровые отпечатки организациям, будет гораздо сложнее идентифицировать потенциального мошенника, который совершает транзакцию через устройство компании Apple.

Заключение

Компания Apple постоянно совершенствует механизмы сбора данных и защиты пользователей от мошенничества. Однако, технические условия и политика по отношению к цифровым данным пользователей говорят о том, что компанию нельзя отнести к тем, кто соответствует общепризнанным стандартам.

Несомненно, риски, с которыми пользователи девайсов Apple сталкиваются, и перечень технических документов, регламентирующих цифровые отпечатки, со временем могут помочь изменениям в отношении предоставления данных для идентификации пользователей и транзакций.