Czym są api.smoot.apple.com i inne hosty, z którymi mój iPhone rozmawia potajemnie?

Przeglądając dzisiaj niektóre pliki dziennika, znalazłem coś dziwnego:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Podobno api.smoot.apple.comjest używany do sugestii wyszukiwania Spotlight w Yosemite, z wyjątkiem tego, że w czasie, w którym zapisano dziennik, nawet nie pociągnąłem ekranu głównego, aby otworzyć wyszukiwanie, a sugestie Spotlight są wyłączone w ustawieniach wyszukiwania telefonu - dla innych hostów są powiązane z iTunes, ale nie mają informacji o tym, co dokładnie robią ...

Zrobiłem kilka testów i wygląda na to, że za każdym razem, gdy odblokowuję telefon po odrobinie bezczynności lub wkrótce po ponownym zablokowaniu, żądanie do tego hosta jest uruchamiane i otrzymuje odpowiedź o średniej wielkości 5kb ...

Wszystkie te adresy URL były wywoływane, gdy urządzenie było bezczynne, świeżo odblokowane i na ekranie głównym bez aplikacji w tle.

Czy ktoś może rzucić na to trochę światła?

ios privacy

Niestety mogą to być różne ustawienia. Automatyczne kontrole aktualizacji oprogramowania, kontrole Xprotect, automatyczne pobieranie iTunes i iBooks, udostępnianie informacji diagnostycznych Apple i programistom zewnętrznym - z których każdy ma inne ustawienia do włączenia / wyłączenia.

— bmike

Polecam zainstalowanie Little Snitcha i zablokowanie wszystkiego, co nie jest oczywiście konieczne, a następnie sprawdzenie, czy nie wpłynie to na jakąkolwiek istotną funkcjonalność.

— wiosłowa

co to czyta, kiedy używasz Siri? #siriProxy

— Phill Pafford

Twój iPhone nie „potajemnie” rozmawia z tymi hostami, inaczej nie pojawią się w logach.

— tubedogg

@tubedogg pojawiają się w dzienniku proxy, na samym urządzeniu nie ma śladów tych żądań ... Nazwałbym to dość tajnym.

Odpowiedzi:

Odnośnie api.smoot.apple.com, z Hacker News . Pamiętaj, że dotyczy to Yosemite, ale wyobrażam sobie, że podobnie dotyczy Mobile Safari na iOS, zwłaszcza, że nazwa hosta jest taka sama (moje wyróżnienie):

Istnieją dwie „Propozycje Spotlight”:

„Sugestie dotyczące reflektorów” w Safari

„Sugestie Spotlight” w Spotlight

Oba sprawdzają te same serwery, oba używają tej samej nazwy i oba zwracają te same informacje.

Rozsądna osoba może sądzić, że postępując zgodnie z instrukcjami Apple dotyczącymi wyłączania „Sugestii Spotlight” (rodzaj Spotlight), wyłączyła „Sugestie Spotlight” (rodzaj Safari) - zwłaszcza jeśli w rzeczywistości nie pojawiły się żadne sugestie Safari (nie zrobiłem tego!).

Mark Rowe, programista Safari w Apple: „To prawdopodobnie uczciwa skarga”. https://twitter.com/bdash/status/524005838743035904

...

Wysłane tutaj zapytanie sieciowe jest w rzeczywistości pomiarem wyszukiwania POST, a nie zapytaniem na żywo i jest używane jako mierniki wydajności wyszukiwania lokalnego i zdalnego.

— tubedogg
źródło

Twoja ostatnia linia jest myląca. HTTP POST dowolnego rodzaju dostarcza serwerowi informacji, nawet jeśli ładunek jest pusty; jednak, jak zauważyłem, same żądania GET wcale nie są puste. Każda litera, którą stuknie użytkownik lub naciśnięty klawisz na klawiaturze, przenosi tę literę oraz długość i szerokość geograficzną, a także inne informacje sieciowe do Apple. Wydaje mi się to bardzo „żywe”. Czy możesz wyjaśnić, co rozumiesz przez „nie wyszukiwane zapytanie na żywo”. Wydaje się, że zmniejsza to zagadnienie lub przynajmniej niedokładnie je opisuje.

— Michael Prescott,

@MichaelPrescott Moje komentarze są kopiowane i wklejane z linku do postu, który z kolei prowadzi do tej treści . Mówimy o „zapytaniu sieciowym”. Nie działa w tym sensie, że nie uzyskuje wyników od Apple, jest raczej używany do „wskaźników wydajności wyszukiwania lokalnego i zdalnego”, jak stwierdzono.

— tubedogg,

Myślę, że to tylko zdalna usługa keyloggera Apple. Wyobrażam sobie, że urządzenia iOS zachowują się tak samo jak OS X. W OS X każde naciśnięcie klawisza jest wysyłane do api.smoot.apple.com wraz z bardzo dokładną długością geograficzną i szerokością geograficzną oraz informacjami o urządzeniu.

Może to być trochę rozmyte, ale możesz zobaczyć na zrzucie ekranu poniżej, że z każdym naciśnięciem klawisza pojawia się żądanie GET, które przenosi te informacje do Apple. Natychmiast po rozpoczęciu przeszukiwania komputera, wpisując znaki, każdy wpisany znak jest wysyłany do Apple. Na ostatnie żądanie wysyłany jest pełny ciąg. Oprócz keyloggowania możesz również zobaczyć, że twoja dokładna lokalizacja podczas pisania jest wysyłana.

W sieci lokalnej możesz spróbować to zablokować. Wątpię, czy możesz odzyskać prywatność, jeśli korzystasz z urządzenia mobilnego.

Aktualizacja: 14 października 2016 r. Często sprawdzam ten problem. Począwszy od tej daty i systemu macOS Sierra w wersji 10.12, nadal przesyła obfite dane za pomocą żądań GET HTTP przy każdym naciśnięciu klawisza, w tym dokładnej szerokości i długości geograficznej, na żywo, do wyszukiwania na komputerze lokalnym. Żałuję, że nie doszło do pełnego ujawnienia, aby wszyscy użytkownicy byli w pełni świadomi tego, jak inwazyjna może być ta funkcja, i wyjaśnienia opcji jej wyłączenia lub nawet lepszego, dzięki czemu dane są wysyłane tylko wtedy, gdy zostanie to wyraźnie wybrane do wysłania. Chociaż może to być niewielka niedogodność, jeśli użytkownik zdecyduje się to zrobić, byłoby wspaniale, gdybyśmy mogli kliknąć przycisk lub nacisnąć kartę, aby przeprowadzić wyszukiwanie za pośrednictwem Internetu w porównaniu z naszymi lokalnymi maszynami.

— Michael Prescott
źródło

Aby wyjaśnić, każde naciśnięcie klawisza while searchingna komputerze i najwyraźniej twój iPhone jest wysyłany do Apple.

— Michael Prescott,

Dlaczego potrzebują lat i long? Wydaje się, że nie ma znaczenia dla lepszego wyszukiwania

— Kanion Kolob

Wątpię, aby nagrywanie tak wielu informacji w czasie rzeczywistym na temat tak wielu osób, tak wielu urządzeń, służy jedynie poprawie wyszukiwania. Możliwości są ograniczone tylko wyobraźnią. Co byś zrobił, gdybyś miał dostęp do systemu, który mógłby wskazać dowolne urządzenie, dowolną osobę, z zapisem większości wszystkiego, do czego używają telefonu lub komputera? Publikuj reklamy tylko dla tej osoby, popraw wyniki wyszukiwania, pomóż jej znaleźć restaurację, kradnij biznesplany, prześladuj je. Ludzie powinni być w stanie wyraźnie zobaczyć, kiedy i co robią ich urządzenia, i być w stanie to zatrzymać bez dyplomu CS.

— Michael Prescott,

Z jakiego narzędzia korzystasz?

— hello_harry,

@hello_harry "Charles Proxy"

— Michael Prescott

api.smoot.apple.com to kolejna norma w branży. Robi wiele rzeczy, takich jak większość interfejsów API dostawców. Służy do pomocy użytkownikom i ułatwienia ich życia poprzez dostarczanie sugestii, reklam i wszystkiego, co dostawca uzna za stosowne.

Jednak żaden sprzedawca nie jest świętym, a Apple nie różni się; to biznes. Jeśli obejmuje to korzystanie z sieci do przesyłania danych do nich zbiorczo lub za pomocą naciśnięcia klawisza, nie mają oni powodu, aby nie angażować się w proces gromadzenia i wykorzystywania tego, co uznają za stosowne.

Tak samo jest z Google. W ustawieniach Chrome możesz wyłączyć wszystko, ale nie możesz uniemożliwić mu komunikacji z interfejsem API. Testowałem kilka miesięcy temu i Chrome nie wyświetlałby ani jednej strony internetowej, którą umieściłem w pasku adresu, jeśli zablokowałem interfejs API Google. Jeśli wyłączyłem wszystkie te ustawienia, co jest wysyłane do Google? Tak więc Chrome już zmusił się do potoku danych użytkownika. Z definicji jest trojanem, ale nie pozwala na wywoływanie nazw. Trend w branży rozpoczął się wiele lat temu.

Intel WiDi ... Naprawdę muszę łączyć się z interfejsem Intel API za każdym razem, gdy uruchamiam WiDi na komputerze ... naprawdę Intel? Nie mogłem zrezygnować z automatycznego aktualizowania?

Microsoft Windows 10 ... po prostu spróbuj powstrzymać się od zmiany, aby ułatwić „bezpieczeństwo” lub zbieranie danych dotyczących środowiska pulpitu. Zgodziłeś się na to podczas instalacji systemu Windows.

W uczciwości wobec dostawców aplikacji jest to norma, a użytkownicy na to pozwalają, ponieważ chcą tej funkcjonalności. Legalna aplikacja nie zostanie zainstalowana, chyba że użytkownicy wyrażą zgodę na jakiekolwiek uprawnienia, których wymaga aplikacja. Nikt nie zadaje sobie trudu, aby na to patrzeć, bo hej, potrzebuję teraz aplikacji na latarkę; kogo to obchodzi, jeśli wymaga to uprawnień do czytania moich wiadomości tekstowych i odczytu mojej karty SD ... aby ją zainstalować ... dzięki czemu mogę teraz używać lampy błyskowej jak latarki. Większość aplikacji spełnia swoje wymagania dotyczące uprawnień ... większości użytkowników to po prostu nie obchodzi; zrób to, co chcę, teraz.

I tylko dla wyjaśnienia, powyższy post Michaela Prescotta o „podczas wyszukiwania” ... czy uważasz, że klawiatura telefonu, która jest używana do wysyłania wiadomości tekstowych i każda inna aplikacja w telefonie nie komunikuje się z interfejsem API? (Niematerialne urządzenie z Androidem lub Apple)

Aby zmienić trend na użytkownika i skorelować wzorce, których mogą używać dostawcy, dostawcy muszą jednoznacznie śledzić użytkowników w celu ukierunkowanego marketingu, zanim zdepersonalizują go ... wygodnie, system operacyjny użytkownika (jabłko lub Windows) ma automatycznie włączany identyfikator reklamy ...

— J Research
źródło

Prawdopodobnie powinniśmy być „wzywaniem nazw”. Jest to zdecydowanie rejestrator naciśnięć klawiszy i zgadzam się, prawdopodobnie klasyfikowanie go jako trojana jest prawdopodobnie sprawiedliwe. Ludzie muszą zrozumieć zakres tego, a tym bardziej niebezpieczeństwa. Lekceważenie tego tak, jakby to była dopuszczalna norma, nie pomaga. Firma lub haker nie ma powodu, aby osadzać rejestratory naciśnięć klawiszy, przechwytywać i przesyłać WSZYSTKIE interakcje z urządzeniem wraz z danymi geograficznymi i sieciowymi. Gdyby to robił ktoś, mówilibyśmy o jego kryminalności, a nie o interfejsach API RESTful, potokach danych i innych bełkotach technicznych.

— Michael Prescott

Naprawdę podoba mi się twoja odpowiedź, ale zdecydowanie nie zgadzam się na „użytkownicy na to pozwalają, ponieważ chcą funkcjonalności”. Nie chce I nie chcę, żeby rzeczy były zrobione za moimi plecami. Niestety „to norma”, ale nie powinno i nie byłoby, gdyby użytkownicy mieli wybór.

— digitaldonkey