Удар по Apple, Alexa оживляет мертвецов, Google игнорирует GDPR, VPN, крипта и многое другое. Дайджест AdGuard

В этом выпуске дайджеста AdGuard: Apple придётся разрешить сторонние магазины приложений, Google обвиняют в нарушении закона о защите данных, голосовой помощник Amazon воскрешает мертвых, криптовалютная биржа помогает правительству США отслеживать пользователей, новая бета iOS защищает от киберпреступников, Индия откладывает вступление в силу спорного закона о VPN.

Сим-сим, откройся! ЕС заставит Apple пустить сторонние магазины в iPhone

Apple может вскоре распрощаться со своей закрытой экосистемой распространения приложений, в центре которой находится App Store — собственный магазин приложений Apple с жёсткой модерацией. Недавно Еврокомиссия приняла новый антимонопольный закон, который обяжет крупные онлайн-платформы («гейткиперы») разрешать пользователям устанавливать сторонние магазины приложений, а разработчикам — использовать альтернативные системы платежей внутри приложений.

«Закон о цифровых рынках» (DMA) ещё должен одобрить Совет Европейского Союза, а применять его начнут не ранее 2023 года. Apple не упоминается в законе, но по всем признакам является «гейткипером», а значит, будет вынуждена подчиниться его требованиям. Если компания не будет соблюдать DMA, ей грозит крупный штраф в размере до 10% от ежегодного мирового оборота и до 20% в случае повторного нарушения.

В отличие от Google, который не препятствует распространению приложений через альтернативные магазины на Android, Apple держится за монополию App Store. Компания утверждает, что таким образом она защищает конфиденциальность пользователей и обеспечивает безопасность транзакций. За последние годы появилось множество альтернативных магазинов приложений для iOS, которые можно загрузить на iPhone без джейлбрейка. Но хотя сторонние магазины приложений могут предоставлять разработчикам лучшие условия для продвижения и не взимать плату за размещение, они не отличаются надёжностью. App Store, с его хорошо отлаженной системой модерации, является гарантом безопасности приложений. Маловероятно, что небольшие альтернативные магазины приложений смогут и захотят так же тщательно проверять приложения.

Новый закон может быть хорошей новостью для разработчиков, но он также угрожает конфиденциальности и безопасности не самых технически продвинутых пользователей продукции Apple.

Google не соответствует требованиям GDPR и подаёт дурной пример

Европейские организации по защите прав потребителей обвинили Google в игнорировании закона ЕС о защите данных (GDPR). Они считают, что процесс регистрации аккаунта в Google построен таким образом, чтобы навязать пользователю участие в механизме слежения за ним, что противоречит духу GDPR. Достаточно одного клика, чтобы активировать настройки аккаунта, которые позволяют Google отслеживать действия пользователя для их последующего использования в целях рекламы. Если же пользователь хочет отказаться от сбора данных и персонализации рекламы, ему нужно проделать гораздо более трудный и долгий путь: требуется целых десять кликов, чтобы сделать аккаунт Google более приватным.

Ситуация усугубляется тем, что Google «задаёт тон» остальному рынку.

Google отрицает, что многоступенчатый процесс отлаживания настроек конфиденциальности равносилен обману. Компания со своей стороны утверждает, что такой «многоуровневый» способ подачи информации основан на рекомендациях Европейского совета по защите данных (EDPB).

Alexa оживляет мёртвых и нагоняет жути при помощи новой фичи

Голосовой помощник от Amazon сможет имитировать голос реальных людей, в том числе тех, которых уже нет в живых. В клипе, который компания использовала для демонстрации новой возможности Alexa, голосовой помощник читает ребёнку книгу голосом его умершей бабушки.

Новая функция, по словам Amazon, должна помочь родственникам пережить боль от утраты близкого человека. Однако, похоже, не все в восторге от перспективы получить «человекоподобное сочувствие» от робота. Пользователи, оставившие комментарии под роликом на YouTube, назвали новую фичу «жуткой», «пугающей» и указали на то, что она может быть использована не по назначению.

В самом деле, идея не кажется безопасной. Потенциальный злоумышленник может воспользоваться функцией для создания ложного алиби, подтверждения транзакции, очернения репутации известного человека или даже рядового пользователя. Более того, возникает этическая дилемма: правильно ли использовать голос умершего человека без его согласия?

Amazon — далеко не единственная компания, чьи продукты могут быть использованы для создания дипфейков. Генеалогический сайт MyHeritage «оживляет» фотографии умерших родственников. Фальшивки становятся всё правдоподобней, достаточно вспомнить «Илона Маска», рекламирующего криптовалютные аферы или безумства фальшивого Тома Круза в TikTok. Подобные технологии — палка о двух концах, и нужно быть крайне осторожным с их распространением, так как, в конечном счёте, они могут принести больше вреда, чем пользы.

Криптовалютная биржа предоставляет правительству США геолокационные данные клиентов

Coinbase, крупнейшая криптовалютная биржа США, предоставила миграционной и таможенной службе страны (ICE) доступ к своему инструменту сбора аналитических данных Coinbase Tracer, сообщает The Intercept. Coinbase Tracer помогает отслеживать операции с криптой через публичные книги записи транзакций. Согласно контракту между ICE и Coinbase, агентство может не только отслеживать транзакции в дюжине цифровых валют, но и имеет доступ к «историческим геолокационным данным» пользователей. Неясно, откуда берутся эти данные, но Coinbase утверждает, что её инструмент отслеживания берёт информацию исключительно из открытых источников и не передаёт «никакой персонально идентифицируемой информации о ком-либо».

Созданная либертарианцами c целью децентрализации и ухода от избыточного регулирования криптовалюта, как оказалось, не так уж свободна от контроля со стороны государства. Тайные сделки между правительственными структурами и обменниками не укрепляют репутацию как Coinbase, так и криптовалютного рынка в целом.

В новой OS от Apple появится режим усиленной защиты от кибератак

Apple предоставит пользователям возможность уйти в цифровой бункер, активировав так называемый «режим блокировки», который станет доступен с релизом iOS 16, iPadOS 16 и macOS Ventura предстоящей осенью.

По словам Apple, режим представляет собой «экстремальный, дополнительный способ защиты для очень небольшого числа пользователей, которые сталкиваются с серьёзными, целенаправленными угрозами своей безопасности». При включённом режиме блокировки многие функции перестанут работать полностью или частично. Будет недоступен предпросмотр всех вложений, кроме изображений, превью ссылок будет отключено, незнакомцы не смогут позвонить вам по FaceTime, также
будут блокироваться входящие приглашения и запросы сервисов Apple от незнакомых контактов. Установка профилей конфигурации будет запрещена, а подключить устройство с помощью провода к компьютеру будет невозможно.

В Apple заявили, что «со временем» планируют ещё усовершенствовать режим блокировки. Компания пообещала выплатить до $2 млн тем, кто найдёт уязвимости в режиме.

Судя только по размеру вознаграждения, можно предположить, что Apple серьезно относится к безопасности и конфиденциальности своих пользователей. Новая функция поможет минимизировать площадь атаки и при этом сильно не нарушит функциональность телефона.

Индия откладывает вступление в силу спорного закона о VPN

Индия отложила вступление в силу директивы, которая обяжет провайдеров VPN хранить логи пользователей не менее 5 лет и предоставлять их государственным органам по запросу.

Директива должна была вступить в силу ещё в конце июня, но индийское агентство по кибербезопасности CERT отложило ее внедрение после того, как столкнулось с жёсткой критикой как со стороны представителей индустрии, так и экспертов по кибербезопасности. В письме к CERT местные и зарубежные эксперты заявили, что новые правила повлекут за собой «снижение уровня кибербезопасности и её важнейшего компонента — конфиденциальности в сети». Они призвали индийское правительство запросить обратную связь у всех заинтересованных сторон прежде чем начать применять закон.

Как и другие VPN-провайдеры со строгой политикой отсутствия логов, AdGuard высказал свою озабоченность по поводу закона и его последствий для нашего присутствия в регионе.

CERT перенёс вступление в силу закона на три месяца, чтобы дать провайдерам больше времени на организацию сбора данных о пользователях. Поскольку правительство Индии принципиально не изменило свой подход, директива продолжает вызывать у нас беспокойство.