O que api.smoot.apple.com e outros hosts com os quais meu iPhone está conversando secretamente?

Examinando alguns arquivos de log hoje, encontrei algo estranho:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Aparentemente, api.smoot.apple.comé usado para sugestões de pesquisa do Spotlight em Yosemite, exceto durante o período em que o registro foi feito. Eu nem puxei a tela inicial para abrir a pesquisa e as sugestões do Spotlight estão desativadas nas configurações de pesquisa do telefone - para os outros hosts eles estão vinculados ao iTunes, mas nenhuma informação sobre o que eles fazem exatamente ...

Fiz alguns testes e parece que toda vez que desbloqueio meu telefone após um pouco de inatividade ou, logo após bloqueá-lo novamente, uma solicitação para esse host é acionada e obtém uma resposta com um tamanho médio de 5kb ...

Todos esses URLs foram chamados quando o dispositivo estava ocioso, desbloqueado recentemente e na tela inicial sem aplicativos em segundo plano.

Alguém pode lançar alguma luz sobre isso?

ios privacy

Infelizmente, essas podem ser configurações diferentes. Verificações automáticas de atualização de software, verificações Xprotect, verificações automáticas de download do iTunes e iBooks, compartilhar informações de diagnóstico para desenvolvedores da Apple e de terceiros - cada uma com configurações diferentes para ativar / desativar.

— Bmike

Eu recomendaria instalar o Little Snitch e bloquear tudo o que não é obviamente necessário e depois verificar se alguma funcionalidade relevante foi afetada.

— oarfish

o que ele lê quando você usa o Siri? #siriProxy

— Phill Pafford

Seu iPhone não está "secretamente" conversando com esses hosts ou eles não apareceriam nos logs.

— precisa saber é o seguinte

@tubedogg eles aparecem no log de um proxy, no próprio dispositivo não há vestígios desses pedidos ... eu chamaria isso de muito secreto.

Respostas:

Em relação a api.smoot.apple.com, do Hacker News . Observe que isso se refere a Yosemite, mas eu imagino que se aplique da mesma forma ao Mobile Safari no iOS, especialmente porque o nome do host é o mesmo (ênfase minha):

Existem duas "Sugestões Spotlight":

"Sugestões em destaque" no Safari

"Sugestões do Spotlight" no Spotlight

Ambos consultam os mesmos servidores, usam o mesmo nome e retornam as mesmas informações.

Uma pessoa razoável pode acreditar que, depois de seguir as instruções da Apple para desativar as "Sugestões Spotlight" (do tipo Spotlight), elas desativaram as "Sugestões Spotlight" (do tipo Safari) - especialmente se você realmente não viu nenhuma sugestão aparecer em Safari (eu não!).

Mark Rowe, desenvolvedor de Safari da Apple: "Provavelmente é uma reclamação justa". https://twitter.com/bdash/status/524005838743035904

...

A consulta de rede postada aqui é na verdade um POST de métricas de pesquisa, não uma consulta de pesquisa ao vivo , e é usada como métrica para o desempenho da pesquisa local e remota.

— tubedogg
fonte

Sua última linha é confusa. Um HTTP POST de qualquer tipo fornece ao servidor informações mesmo se a carga útil estiver vazia; no entanto, como observei, as solicitações GET em si não estão vazias. Cada letra que um usuário toca ou pressiona a tecla do teclado carrega essa letra, além de longitude e latitude, juntamente com outras informações de rede para a Apple. Isso parece muito "vivo" para mim. Você poderia esclarecer o que quer dizer com "não uma consulta de pesquisa ao vivo". Parece diminuir esse problema ou, pelo menos, descrevê-lo incorretamente.

— Michael Prescott

@ MichaelPrescott Meus comentários são copiados e colados a partir do post vinculado, que por sua vez, vincula a esta essência . Essa é a "consulta de rede" que está sendo referida. Não está claro que não está obtendo resultados da Apple, mas está sendo usado para "métricas de desempenho de pesquisa local e remota", conforme declarado.

— tubedogg

Eu acho que este é apenas o serviço de keylogger remoto da Apple. Imagino que os dispositivos iOS se comportem da mesma maneira que o OS X. No OS X, cada pressão de tecla é enviada para api.smoot.apple.com ao longo de longitude e latitude e informações de dispositivo muito precisas.

Pode ser um pouco confuso, mas você pode ver na captura de tela abaixo que, a cada pressionamento de tecla, há uma solicitação GET que carrega essas informações para a Apple. No instante em que você começa a pesquisar no seu computador, digitando caracteres, cada caractere digitado é enviado para a Apple. Na solicitação final, a cadeia completa é enviada. Além do registro de chaves, também é possível ver que a sua localização exata enquanto você digita é enviada.

Na sua rede local, você pode tentar bloquear isso. Duvido que você possa recuperar alguma privacidade se estiver usando um dispositivo móvel.

Atualização: 14 de outubro de 2016 Eu verifico esse problema com tanta frequência. Até essa data e no macOS Sierra versão 10.12, ele ainda está transmitindo dados abundantes por meio de solicitações GET HTTP em cada pressionamento de tecla, incluindo latitude e longitude precisas, ao vivo, para pesquisas em máquinas locais. Eu gostaria que houvesse divulgação completa para que todos os usuários tivessem consciência de quão invasivo esse recurso pode ser e opções claras para desativá-lo ou até melhor, tornando-o para que os dados sejam enviados apenas quando escolhidos explicitamente. Embora possa ser um pequeno inconveniente se um usuário optar por fazê-lo, seria ótimo se pudéssemos clicar em um botão ou clicar na guia para realizar uma pesquisa via web versus nossas máquinas locais.

— Michael Prescott
fonte

Só para esclarecer, todas as teclas pressionam while searchingseu computador e, aparentemente, seu iPhone é enviado para a Apple.

— Michael Prescott

Por que eles precisam de lat e long? Parece irrelevante para fazer buscas melhor

— Kolob Canyon

Duvido que gravar tanta informação em tempo real sobre tantas pessoas, tantos dispositivos, seja apenas para melhorar as pesquisas. As possibilidades são limitadas apenas pela imaginação. O que você faria se tivesse acesso a um sistema capaz de identificar qualquer dispositivo, qualquer pessoa, com um registro de quase tudo o que eles usam o telefone ou o computador? Poste anúncios apenas para essa pessoa, melhore seus resultados de pesquisa, ajude-os a encontrar um restaurante, roubar planos de negócios, persegui-los. As pessoas devem ser capazes de ver claramente quando e o que seus dispositivos estão fazendo e ser capazes de pará-lo sem um diploma em CS.

— Michael Prescott

Qual é essa ferramenta que você está usando?

— Hello_harry

@hello_harry "Charles Proxy"

— Michael Prescott

api.smoot.apple.com é outra norma do setor. Ele faz algumas coisas, como a maioria das APIs de fornecedores. É usado para ajudar os usuários e facilitar suas vidas, fornecendo sugestões, anúncios e o que o fornecedor considerar apropriado.

No entanto, nenhum fornecedor é um santo e a Apple não é diferente; é um negócio. Se isso inclui o uso de sua rede para transmitir seus dados a eles de forma agregada ou por pressionamento de tecla, eles não têm motivos para não se colocar no pipeline para coletar e usar o que consideram apropriado.

É o mesmo com o Google. Nas configurações do Chrome, você pode desativar tudo, mas não pode impedir que ele se comunique com sua API. Testei há alguns meses e o Chrome não renderizaria uma única página da Web que eu colocasse na barra de endereços se eu bloqueasse a API do Google. Se eu desabilitei todas essas configurações, o que está sendo enviado ao Google? Portanto, o Chrome já se forçou a entrar no pipeline de dados do usuário. É por definição um cavalo de Troia, mas não vamos começar a chamar nomes. A tendência da indústria começou há muitos anos.

Intel WiDi ... Eu realmente preciso me conectar à API da Intel toda vez que inicio o WiDi no meu PC ... realmente Intel? Não foi possível desativar o atualizador automático?

Microsoft Windows 10 ... tente impedir que ele mude para facilitar a "segurança" ou a coleta de dados sobre o ambiente da área de trabalho. Você concordou em permitir isso quando instalou o Windows.

Para ser justo com os fornecedores de aplicativos, é a norma e os usuários permitem porque desejam a funcionalidade. Um aplicativo legítimo não será instalado, a menos que os usuários concordem com as permissões que o aplicativo solicitar. Ninguém se incomoda em olhar para tudo isso porque, ei, preciso de um aplicativo de lanterna agora; quem se importa se precisar de permissões para ler minhas mensagens de texto e ler meu cartão SD ... para que eu possa instalá-lo ... para que eu possa usar o flash da câmera como uma lanterna agora. A maioria dos aplicativos é honesta com os requisitos de permissão ... a maioria dos usuários simplesmente não se importa; faça o que eu quero que aconteça agora.

E só para esclarecer, a postagem de Michael Prescott acima sobre "enquanto pesquisava" ... você acha que o teclado do telefone, usado para mensagens de texto e todos os outros aplicativos do telefone, não se comunicam com uma API? (Dispositivo Android ou Apple irrelevante)

Para criar tendências para um usuário e correlacionar padrões que os fornecedores podem usar, os fornecedores precisam rastrear os usuários de maneira direcionada para o marketing direcionado antes de despersonalizá-lo ... convenientemente, o sistema operacional do usuário (apple ou windows) tem um ID de anúncio ativado automaticamente ...

— J Research
fonte

Provavelmente deveríamos ser "xingamentos". Definitivamente, é um registrador de pressionamento de tecla e eu concordo, provavelmente também é justo classificar como Trojan. As pessoas precisam entender a extensão disso e, mais ainda, os perigos. Subestimar isso como se fosse uma norma aceitável não ajuda. Não há motivo para uma empresa ou hacker incorporar registradores de teclas, capturar e transmitir TODAS as interações com um dispositivo, juntamente com dados geográficos e de rede. Se fosse um indivíduo fazendo isso, estaríamos falando sobre a criminalidade, e não sobre as APIs RESTful, pipelines de dados e outras informações técnicas.

— Michael Prescott

Eu realmente gosto da sua resposta, mas discordo definitivamente de "os usuários permitem porque desejam a funcionalidade". Eu não quero E não quero que as coisas sejam feitas pelas minhas costas. Infelizmente "é a norma", mas não deveria e não faria se os usuários tivessem realmente uma escolha.

— Digitaldonkey