iOS зберігає дані програм після видалення і не дає їх стерти

Apple багато робить для того, щоб забезпечити безпеку своїх користувачів, періодично впроваджуючи в iOS нові захисні механізми, навіть якщо вони суперечать уявленням ринку про правильне ведення бізнесу. Просто компанія вибудувала таку модель взаємодії з клієнтом, при якій вона практично не залежить від його даних і, на відміну від інших, може спокійно обходитися без них. Однак збір і обробка даних користувача не завжди пов'язані зі стеженням. Правда, коли Apple починає збирати хоч якісь відомості про нас, ми тут же приймаємо це в багнети. Наприклад, як у ситуації з автоматичним входом у програми.

Користувач Reddit з ніком blackmolecule з'ясував, що iOS зберігає дані додатків навіть після видалення. Причому це не якісь файли кешу, а дані авторизації, за допомогою яких пристрій може автоматично увійти в раніше створений обліковий запис програми у разі перевстановлення.

Додаток сам входить в аккаунт

За словами blackmolecule, він виявив цю особливість iOS при перевстановленні програми 9gag. Користувач завантажив додаток собі на пристрій заново після видалення і, відкривши його, виявив, що він автоматично виконав вхід в його обліковий запис без попереднього запиту пароля.

Очевидно, що дані такого роду зберігаються десь у довгостроковій пам'яті, оскільки позбутися від них дозволяє тільки повне скидання пристрою до заводських налаштувань. Приблизно таким же чином працюють куки в браузері, але в даному випадку все куди крутіше, тому що додаток запам'ятовує вас і ваш пристрій і продовжує пам'ятати навіть після видалення. Але я не міг написати про це, не переконавшись у тому, що все це правда.

Щоб перевірити слова blackmolecule, я спробував видалити кілька програм і встановити їх заново. Мені хотілося впевнитися, що те, про що він говорить, - правда. Я видалив додатки Twitter, Googds, More.tv, 1.1.1.1 і Instagram, проте жодне з них при перевстановленні не змогло пройти автоматичну авторизацію.

Проблеми безпеки iOS

Тому я спеціально завантажив 9GAG, авторизувався в ньому, а потім видалив, ні на що особливо не розраховуючи. Але яке ж було моє здивування, коли при повторній установці додаток автоматом увійшов в мій аккаунт, з якого я проходив авторизацію в перший раз.

Виходить, що дійсно є такі програми, які можуть зберігати на пристрої свого роду супер-кукі, за якими розпізнають його і авторизуються автоматично. Це дійсно серйозний недолік безпеки з кількох причин:

• Ми не знаємо напевно, де зберігаються ці дані, і не можемо їх видалити;
• Якщо додаток сам дізнається пристрій, ймовірно, він може передати дані авторизації кудись ще;
• Якщо ми продаємо пристрій, не скинувши його до заводських налаштувань, новий власник зможе потрапити в наш аккаунт;
• Таким чином дуже зручно відстежувати пристрої в будь-яких цілях, необов'язково рекламних;
• Автоматична авторизація незалежно від волі користувача - в принципі досить сумнівна історія.

Інша справа, що все це - не порожнє, а свого роду фіча. Apple не дає розробникам можливість взаємодіяти з унікальним ідентифікатором пристрою, але повинна була дати їм якусь можливість ідентифікувати користувачів. Це може бути потрібно в самих різних сценаріях, але найпростіший - визначення тих, хто вже встановлював додаток, на випадок, якщо вони повторно спробують отримати бонус за установку. Тому, навіть якщо ви змінюєте номер телефону, пошту та банківську картку, додатки розпізнають вас і не дозволяють застосувати знижку або іншу акцію для новорегів.

Очевидно, що в компанії просто не передбачили, що розробники будуть користуватися цим механізмом в іншому ключі, ніж замислювалося спочатку. У результаті через неправильні дії творців додатків, які неправильно взаємодіють зі Зв'язкою ключів, ми маємо те, що маємо, наражаючи себе і свої дані небезпеки. Тому, вважаю, буде справедливо вимагати від Apple впровадження в iOS спеціальних механізмів, які дозволять виявляти ці «супер-кукі», видаляти їх і забороняти автоматичну авторизацію.