iOS сохраняет данные приложений даже после удаления

iOS
715 просмотров

Компания Apple делает всё, чтобы обеспечить безопасность своих пользователей, внедряя в iOS новые защитные механизмы, даже если они противоречат представлениям рынка о правильном ведении бизнеса. Компания выстроила такую модель взаимодействия с клиентом, при которой она почти не зависит от его данных и, в отличие от других, может спокойно обходиться вообще без них. Однако сбор и обработка пользовательских данных не всегда связаны со слежкой. Правда, когда Applе начинает собирать хоть какие-то сведения о нас, мы тут же принимаем всё в штыки.
Пользователь Reddit с ником blаckmolecule выяснил, что iOS сохраняет данные приложений даже после их удаления. Причём это не какие-то там файлы кэша, а данные авторизации, с помощью которых девайс может автоматически войти в ранее созданную учётную запись приложения в случае, например, переустановки.

Приложения входят сами в Ваш аккаунт

 

Скриншот 11-02-2021 174403

По словам blаckmolecule, он нашел эту особенность iOS при переустановке приложения 9gаg. Пользователь скачал приложение себе на мобильный гаджет заново после удаления и, открыв его, обнаружил, что оно автоматически выполнило вход в его учётную запись без запроса пароля.

«Сначала я подумал, что приложение просто хранит данные авторизации в iClоud или «Связке ключей». Но, когда я проверил хранилище iClоud и «Связку», то не обнаружил там сохранённой учётной записи. Так я понял, что бывают приложения, которые могут хранить свои данные в локальной связке ключей, и iOS не удаляет их, даже если они не синхронизируются с облаком. Они могут сохранять на устройстве информацию об учётной записи, а, когда обнаруживают совпадение идентификатора, производят вход», — написал blаckmolecule.

Данные такого рода хранятся где-то в долгосрочной памяти, поскольку избавиться от них позволяет только полный сброс девайса до заводских настроек. Примерно таким же образом работают куки файлы в браузере, но в данном случае всё куда круче, потому что приложение запоминает Вас и Ваш мобмльный гаджет и продолжает помнить даже после удаления.

Проблемы безопасности iOS

 

Скриншот 11-02-2021 174411

Поэтому мы специально скачали 9GAG, авторизовались в нём, а потом удалили, ни на что особенно не рассчитывая. Но каково же было наше удивление, когда при повторной установке приложение автоматически вошло в аккаунт, с которого мы проходили авторизацию в первый раз.

Получается, что все таки есть такие приложения, которые могут сохранять на девайсе своего рода супер-куки, по которым распознают его и авторизуются автоматически. Это действительно серьёзный прочет в безопасности по нескольким причинам:


Мы не знаем наверняка, где хранятся эти самые данные, и не можем их удалить;

Если приложение само узнаёт девайс, вероятно, оно может передать данные авторизации куда-то на стороне;

Если мы продаём мобильный гаджет, не сбросив его до заводских настроек, новый владелец сможет попасть в наш аккаунт;

Таким вот образом очень удобно отслеживать устройства в любых целях, необязательно даже рекламных;

Автоматическая авторизация независимо от пользователя –сомнительная история.

Другое дело, что всё это — не баг, а своего рода особенность. Applе не даёт разработчикам возможность взаимодействовать с уникальным идентификатором девайса, но должна была дать им какую-то возможность идентифицировать пользователей. Это может быть нужно в самых разных сценариях, но самый простой — нахождение тех, кто уже устанавливал приложение, на случай, если они повторно попытаются получить бонус за его установку. Поэтому, даже если Вы меняете номер телефона, почту и банковскую карту, приложения распознают Вас и не дас применить скидку или другую акцию для “новорегов”.

Таким образом Applе отдаёт контроль за хранением этих данных разработчикам, которые сами решают, как им поступать, исходя из специфики приложения. А для самых параноидальных пользователей можно посоветовать пользоваться функцией logout в приложении перед его удалением. Хотя и тут нет гарантии, кроме надежды на разумность автора программы, — пояснил Павел Дмитриев, разработчик PostIndustria.com

Вероятно, что в компании не предусмотрели, что разработчики будут пользоваться этим в другом ключе, нежели задумывалось первоначально. В результате из-за неправильных действий разработчиков, которые неправильно взаимодействуют со Связкой ключей, мы имеем то, что имеем, подвергая себя и свои данные опасности. Справедливо будет требовать от Applе внедрения в iOS специальных механизмов, которые позволят находить эти «супер-куки», удалять их и запрещать автоматическую авторизацию.

  • Добавить в Словарь
    • Новый список слов для Русский → Английский…
    • Создать новый список слов…
  • Копировать

Читайте также: