Если приложение запрашивает разрешение на отслеживание ваших действий
Функция прозрачности при отслеживании приложениями позволяет разрешать или запрещать приложениям отслеживать ваши действия в приложениях и на веб-сайтах других компаний в целях рекламы или предоставления информации брокерам данных.
В iOS 14.5 или более поздней версии, iPadOS 14.5 или более поздней версии и tvOS 14.5 или более поздней версии приложения должны запрашивать разрешение, прежде чем отслеживать вашу активность в приложениях и на веб-сайтах других компаний. Отслеживание означает, что собранная в приложении информация, которая идентифицирует вас или ваше устройство, соотносится с информацией, которая также идентифицирует вас или ваше устройство и была собрана в приложениях, на веб-сайтах или в других местах, принадлежащих третьим сторонам. Это делается для того, чтобы предложить вам целевую рекламу, провести оценку рекламной кампании или предоставить собранную информацию брокерам данных. Узнайте больше об отслеживании в приложениях и других настройках конфиденциальности.
Если приложение запрашивает разрешение на отслеживание ваших действий
Если вы видите запрос на отслеживание ваших действий, вы можете нажать «Разрешить» или «Попросить приложение не отслеживать». Вы по-прежнему сможете пользоваться всеми возможностями приложения независимо от того, разрешили ли вы отслеживать свои действия.
Разработчик приложения может изменить часть сообщения, чтобы объяснить, зачем приложение будет отслеживать ваши действия. Вы также можете посетить страницу приложения в App Store, чтобы получить сведения о том, как разработчик приложения использует ваши данные.
Если вы выберете «Попросить приложение не отслеживать», разработчик приложения не сможет получить доступ к рекламному идентификатору системы (IDFA), который часто используется для отслеживания. Приложению также не будет разрешено отслеживать ваши действия с помощью другой информации, которая идентифицирует вас или ваше устройство, такой как адрес электронной почты.
Управление разрешениями на отслеживание действий
В любое время вы можете изменить свое решение и разрешить или запретить отслеживание ваших действий тому или иному приложению.
- Перейдите в настройки конфиденциальности, чтобы увидеть список приложений, запросивших разрешение на отслеживание ваших действий. На iPhone, iPad или iPod touch перейдите в меню «Настройки» > «Конфиденциальность» > «Отслеживание». На Apple TV перейдите в меню «Настройки» > «Основные» > «Конфиденциальность» > «Отслеживание».
- Нажимайте переключатель, чтобы разрешить или запретить отслеживание для конкретного приложения.
Если выключить параметр «Трекинг-запросы приложениями» в настройках конфиденциальности, вы перестанете получать от приложений запросы на отслеживание действий. Когда этот параметр выключен, всем приложениям, запросившим разрешение на отслеживание, будет дан ответ, как если бы вы нажали «Попросить приложение не отслеживать». Кроме того, вы можете отозвать разрешение на отслеживание у всех приложений, которым ранее было предоставлено такое право. Или вы можете разрешить продолжить отслеживать ваши действия только тем приложениям, которым ранее было разрешено это делать.
В некоторых случаях параметр «Трекинг-запросы приложениями» отключен. В число таких случаев также входят следующие:
- Для пользователей с учетной записью ребенка или лиц младше 18 лет, вошедших с помощью своего идентификатора Apple ID*
- Если ваш идентификатор Apple ID управляется образовательным или бизнес-учреждением
- Если ваше устройство управляется профилем конфигурации, который ограничивает отслеживание, и использует его
- Если ваш идентификатор Apple ID был создан менее трех дней назад
В этих случаях всем приложениям, запрашивающим разрешение на отслеживание, будет по умолчанию отказано в разрешении и получении рекламного идентификатора системы (IDFA). Если статус вашей учетной записи или устройства изменится и впоследствии вы включите параметр «Разрешить приложениям отправлять запросы на отслеживание», то при получении следующего запроса на отслеживание от приложения вы увидите запрос на подтверждение разрешения.
* Возраст пользователя учетной записи ребенка отличается в зависимости от страны и региона.
Дата публикации:
Почему приложение запрашивает разрешение на поиск устройств в локальной сети в iOS 14
В iOS 14 Apple серьезно пересмотрела подход к конфиденциальности пользователей. Мало того, что компания добавила в обновление продвинутые возможности Safari для предотвращения отслеживания хакерами и рекламодателями, так теперь iPhone или iPad показывает оранжевую или зеленую точку всякий раз, когда приложение запрашивает доступ к микрофону или камере устройства соответственно. Однако на этом в Купертино не остановились и добавили возможность ограничить доступ приложений к локальной сети и устройствам, которые там находятся.
Большинству приложений его нужно ЗАПРЕТИТЬ
Зачем приложение запрашивает разрешение на поиск в локальной сети iOS 14
Если вы видите сообщение вроде «Приложение Instagram запрашивает разрешение на поиск устройств в Вашей локальной сети и подключение к ним», это значит, что приложение хочет «бесшумно» подключаться к другим устройствам в локальной сети, в том числе для сбора информации.
По сути вы пускаете приложение в свою домашнюю сеть и в дальнейшем оно сможет подключиться, например, к другому устройству или компьютеру.
Если видите такое сообщение, подумайте, прежде чем соглашаться
Зачем это нужно? Некоторым приложениям действительно необходим доступ к локальной сети — например, если речь идет о приложении для управления роутером. Или если вы проигрываете трек в Spotify и хотите отправить его на колонку по AirPlay или с помощью функции Spotify Connect. Но зачем такой доступ нужен тому же Instagram? А Facebook? Очевидно, не для того, чтобы проигрывать вам музыку. Эксперты по информационной безопасности считают, что приложения пользуются этим для сбора информации, которая нужна им для показа таргетинговой рекламы. Например, если вы гуглили с компьютера «диваны», то в следующий раз, когда откроете «Истории» в Instagram, вы наверняка увидите рекламу диванов.
Вернее, РАНЬШЕ приложения могли творить такое безобразие. В iOS 14 можно взять под контроль приложения, которые имеют доступ к вашей домашней сети.
Как отключить приложению доступ к локальной сети в iOS 14
Во-первых, внимательно читайте всплывающие окна, которые появляются при запуске приложений. Зачастую никто не обращает на них внимание и просто нажимает «Да» или «ОК». Приложение не получит доступ к вашей локальной сети, пока вы сами ему не разрешите. Но если вы ранее разрешили доступ или хотите посмотреть, какие приложения используют данную функциональность, воспользуйтесь инструкцией ниже.
- Откройте приложение «Настройки».
- Выберите «Конфиденциальность».
- Зайдите в меню «Локальная сеть».
Откройте меню «Локальная сеть»
Здесь вы увидите все приложения, которые имеют доступ к устройствам в вашей локальной сети (или пытались его получить). Я, например, оставил доступ только для Spotify (иначе не получится пользоваться Spotify Connect) и Mi Home, поскольку это приложение используется для управления устройствами умного дома. Зачем доступ нужен приложению AliExpress или «Яндекс.
Навигатору», так и не понял, поскольку эти приложения никак не связаны с моей локальной сетью и работают без проблем и без лишних доступов.
Ограничьте доступ приложениям, которым он не нужен
А какие приложения запрашивали доступ у вас? Расскажите в нашем чате в Telegram.
Конечно, не всегда понятно, когда приложению действительно нужен доступ к локальной сети для корректной работы, поэтому я бы советовал пользоваться интуицией и просто проверять, как приложение будет работать без данного доступа. Если ничего не изменится, давать ему лишние разрешения точно не стоит.
App StoreiOS 14Безопасность Apple
Сбор данных о рекламных кампаниях из ВКонтакте
Нам есть чем поделиться в сегодняшнем лонгриде: мы возьмем данные о рекламных кампаниях из Вконтакте (широко популярной социальной сети в России и странах СНГ) и сравним их с данными Google Analytics в Редаше. На этот раз нам не нужно создавать сервер, так как наши данные будут передаваться в Google Документы через Google Sheets API.
Получение токена доступа
Нам нужно создать приложение для получения токена доступа. Перейдите по этой ссылке https://vk.com/apps?act=manage и нажмите «Создать приложение» на странице разработчика. Выберите название для своего приложения и отметьте его как «Отдельное приложение». Затем нажмите «Настройки» в меню слева и сохраните идентификатор приложения.
Подробнее о токенах доступа можно узнать здесь: « Получение токена доступа »
измените YourClientID на идентификатор вашего приложения, это позволит вам получать информацию о вашем рекламном аккаунте. Откройте эту ссылку в браузере, и вы будете перенаправлены на другую страницу, URL-адрес которой содержит созданный вами токен доступа.
Срок действия токена доступа истекает через 86 400 секунд или 24 часа. Если вы хотите сгенерировать токен с неограниченным сроком действия, просто передайте область действия в параметре offline. В случае, если вам нужно сгенерировать новый токен — измените свой пароль учетной записи или завершите все активные сеансы в настройках безопасности.
Вам также понадобится идентификатор вашего рекламного аккаунта, чтобы отправлять запросы API. Его можно найти по этой ссылке, просто скопируйте: https://vk.com/ads?act=settings
Использование API для сбора данных
Напишем скрипт, который позволит получать информацию обо всех объявлениях пользователя кампании: количество показов, кликов и затрат. Скрипт передаст эти данные в DataFrame и отправит их в Google Документы.
из oauth3client.service_account import ServiceAccountCredentials из pandas импортировать DataFrame запросы на импорт импортировать gspread время импорта
У нас есть несколько постоянных переменных: токен доступа, идентификатор рекламного аккаунта и версия API Вконтакте. Здесь мы используем самую последнюю версию API – 5.103.
токен = 'fa258683fd418fafcab1fb1d41da4ec6cc62f60e152a63140c130a730829b1e0bc' версия = 5.103 id_rk = 123456789
Для получения статистики по рекламе вам необходимо использовать метод ads.
getStatistics и передать ему идентификатор вашей рекламной кампании. Поскольку мы пока не запускаем рекламу, воспользуемся методом ads.getAds, который возвращает идентификаторы объявлений и кампаний.
Узнайте больше о методах API, доступных для Вконтакте, здесь
Используйте библиотеку запросов, чтобы отправить запрос и преобразовать ответ в JSON.
идентификаторы_кампаний = []
ads_ids = []
r = request.get('https://api.vk.com/method/ads.getAds', params={
'access_token': токен,
'v': версия,
'account_id': id_rk
})
данные = r.json () ['ответ']
У нас есть знакомый список возвращенных словарей, аналогичный тому, который мы рассмотрели в предыдущей статье «Анализ данных о рекламных кампаниях Facebook с помощью Redash».
Заполните словарь ad_campaign_dict следующим образом: в качестве ключа укажите ID объявления, а в качестве значения ID кампании, к которой относится данное объявление.
ad_campaign_dict = {}
для i в диапазоне (len (данные)):
ad_campaign_dict[data[i]['id']] = data[i]['campaign_id'] Имея идентификатор для каждого необходимого объявления, мы можем вызвать метод ads.
ads_campaign_list = [] ads_id_list = [] ads_impressions_list = [] ads_clicks_list = [] ads_spent_list = [] ads_day_start_list = [] ads_day_end_list = []
Нам нужно вызывать метод getStatistics для каждого объявления отдельно, давайте обратимся к ad_campaign_dict и повторим наши запросы. Получите данные за все время, вызвав метод «период» с общим значением. У некоторых объявлений может не быть показов или кликов, если они еще не запущены. Это может вызвать ошибку KeyError. Давайте вспомним подход try—except для обработки этой ошибки.
для ad_id в ad_campaign_dict:
r = request.get('https://api.vk.com/method/ads.getStatistics', params={
'access_token': токен,
'v': версия,
'account_id': id_rk,
'ids_type': 'объявление',
'идентификаторы': ad_id,
«период»: «в целом»,
'дата_от': '0',
'дата_до': '0'
})
пытаться:
data_stats = r.
json () ['ответ']
для i в диапазоне (len (data_stats)):
для j в диапазоне (len (data_stats [i] ['stats'])):
ads_impressions_list.append(data_stats[i]['stats'][j]['impressions'])
ads_clicks_list.append(data_stats[i]['stats'][j]['clicks'])
ads_spent_list.append(data_stats[i]['stats'][j]['spent'])
ads_day_start_list.append(data_stats[i]['stats'][j]['day_from'])
ads_day_end_list.append(data_stats[i]['stats'][j]['day_to'])
ads_id_list.append(data_stats[i]['id'])
ads_campaign_list.append(ad_campaign_dict[ad_id])
кроме KeyError:
продолжить 
json () ['ответ']
для i в диапазоне (len (data_stats)):
для j в диапазоне (len (data_stats [i] ['stats'])):
ads_impressions_list.append(data_stats[i]['stats'][j]['impressions'])
ads_clicks_list.append(data_stats[i]['stats'][j]['clicks'])
ads_spent_list.append(data_stats[i]['stats'][j]['spent'])
ads_day_start_list.append(data_stats[i]['stats'][j]['day_from'])
ads_day_end_list.append(data_stats[i]['stats'][j]['day_to'])
ads_id_list.append(data_stats[i]['id'])
ads_campaign_list.append(ad_campaign_dict[ad_id])
кроме KeyError:
продолжить Теперь создайте DataFrame и распечатайте первые 5 точек данных
df = DataFrame() df['campaign_id'] = ads_campaign_list df['ad_id'] = ads_id_list df['показы'] = ads_impressions_list df['клики'] = ads_clicks_list df['spent'] = ads_spent_list df['day_start'] = ads_day_start_list df['day_end'] = ads_day_end_list print(df.
head()) Экспорт данных в Документы Google
Нам понадобится токен доступа к Google API, перейдите на https://console.developers.google.com и создайте его. Выберите любое имя, которое вам нравится, затем перейдите в панель управления и нажмите «Включить API и службы». Выберите Google Drive API из списка, включите его и сделайте то же самое для Google Sheets API.
После активации вы будете перенаправлены в панель управления API. Нажмите «Учетные данные» — «Создать учетные данные», выберите тип данных и создайте учетную запись. Выбирать роль необязательно. Просто продолжите и укажите JSON в качестве типа ключа.
После этих шагов вы можете загрузить файл JSON с вашими учетными данными, мы переименуем его в «credentials.json». На главной странице вы найдете поле электронной почты — скопируйте свой адрес электронной почты.
Перейдите на https://docs.google.com/spreadsheets и создайте новый файл с именем data, мы будем передавать в него данные из нашего DataFrame.
Поместите файл учетных данных.json в один каталог со скриптом и продолжайте писать код. Добавьте эти ссылки в список областей:
scope = ['https://spreadsheets.google.com/feeds', 'https://www.googleapis.com/auth/drive']
Мы будем использовать доступные методы ServiceAccountCredentials.from_json_keyfile_name и gspread.authorize. в библиотеках oauth3client и gspread для процесса аутентификации. Укажите имя файла и переменную области видимости в методе ServiceAccountCredentials.from_json_keyfile_name. Переменная листа позволит нам отправлять запросы к нашему файлу в Google Документах.
Creds = ServiceAccountCredentials.from_json_keyfile_name('credentials.json', область действия)
клиент = gspread.authorize(кредиты)
лист = клиент.открыть('данные').лист1 Примените метод update_cell для ввода нового значения в ячейку таблицы. Стоит отметить, что индексация начинается с 0, а не с 1. В первом цикле мы будем перемещать имена столбцов нашего DataFrame. И с помощью следующих циклов мы будем перемещать остальные наши точки данных.
Ограничения по умолчанию позволяют нам сделать 100 циклов за 100 секунд. Эти ограничения могут привести к ошибкам и остановке нашего скрипта, поэтому нам нужно использовать time.sleep и переводить скрипт в спящий режим на 1 секунду после каждого цикла.
count_of_rows = длина (df)
count_of_columns = длина (df.columns)
для i в диапазоне (count_of_columns):
лист.update_cell (1, я + 1, список (df.columns) [я])
для i в диапазоне (1, count_of_rows + 1):
для j в диапазоне (count_of_columns):
лист.update_cell (я + 1, j + 1, ул (df.iloc [я, j]))
время сна(1) В случае успеха вы получите ту же таблицу:
Экспорт данных в Redash
Как подключить Google Analytics к Redash смотрите в статье «Как подключить Google Analytics к Redash?».
Имея таблицу с Google Analytics и экспортированными рекламными кампаниями из Вконтакте, мы можем сравнить их, написав следующий запрос:
SELECT
запрос_50.день_начало,
СЛУЧАЙ, КОГДА ga_source LIKE '%vk%' THEN 'vk. com' END AS source,
запрос_50.потрачено,
запрос_50.показов,
запрос_50.кликов,
СУММ(запрос_49.ga_sessions) сеансы AS,
SUM(query_49.ga_newUsers) Пользователи AS
ОТ запроса_49
ПРИСОЕДИНЯЙТЕСЬ запрос_50
ON query_49.ga_date = query_50.day_start
ГДЕ query_49.ga_source КАК '%vk%' И ДАТА(query_49.ga_date) МЕЖДУ '2020-05-16' И '2020-05-20'
СГРУППИРОВАТЬ ПО query_49.ga_date, source ga_source — источник трафика, с которого был перенаправлен пользователь. Используйте метод CASE, чтобы объединить все, что содержит «vk», в один столбец с названием «vk.com». С помощью оператора JOIN мы можем добавить таблицу с данными по рекламным кампаниям, объединяя их по дате. Возьмем день последней рекламной кампании и пару дней спустя, это приведет к следующему результату:
Takeaways
Теперь у нас есть таблица, которая отражает, сколько было потрачено на рекламу в определенный день, количество пользователей, просмотревших эту рекламу, вовлеченных и перенаправленных на наш сайт, а затем завершивших процесс регистрации. .
Как правительства запрашивают ваши данные у поставщиков услуг
Cybersecurity Governance, Risk & Compliance Security Boulevard (исходный вариант)
от Christopher Burgess, 9 сентября 2022 г.
В недавно опубликованном отчете Surfshark рассматривались глобальные расследования деятельности конкретных счетов, которые правительства ведут к поставщикам услуг. В отчете говорится, что Соединенные Штаты «запрашивают больше всего пользовательских данных у крупных технологических компаний».
Хотя компания характеризует запросы правительства как «наблюдение», я предпочитаю термин «расследование». Обзор Surfshark включал 177 стран с 2012 по 2020 год, в которых были получены запросы, относящиеся к более чем пяти миллионам учетных записей. Неудивительно, что две области мира с наибольшей прозрачностью, ЕС и Соединенные Штаты, — это те же области, которые наметили наибольшее количество запросов, которые возникали, когда «цифровые доказательства необходимы в юридических процессах».
Спонсорство доступно
Кроме того, набор данных ограничен четырьмя компаниями, публикующими отчеты о прозрачности: Apple, Google, Facebook (Meta) и Microsoft. Отсутствовали многие доступные отчеты о прозрачности.
Отчетность о прозрачности растет
Компания Access Now составила список из 88 компаний, которые последовали примеру Google, опубликовав первый отчет 11 лет назад, и теперь публикуют отчеты о прозрачности. Включение более полного обзора доступных данных, возможно, обеспечило яркую динамику в отчете SurfShark, которая затемняется тем, что в него включены только четыре социальные сети со штаб-квартирой в США.
Интересно, что из стран, в которых правительство демонстрирует демонстративное участие в подавлении инакомыслия, включая инакомыслие в Интернете, Китай (64), Россия (65) и Саудовская Аравия (106) были довольно далеко в списке «надзора» Surfshark. состояния.
Отчеты о прозрачности, не включенные в анализ Surfshark
Например, Amazon в своем отчете за январь-июнь 2022 года отправила 26 972 запроса (не включая AWS — к AWS было 954 запроса). В разбивке по странам Германия значительно исказила показатели ЕС, составив 48% из 26,972 запроса.
Точно так же Cloudflare оказалась в центре общественного обсуждения организаций, ведущих бизнес в России, после вторжения России в Украину и очень публичного требования правительства Украины к Cloudflare прекратить вести бизнес в России. В отчете Cloudflare о прозрачности за 2021 год объясняется, как они обрабатывали законные запросы. Их первая половина 2021 года (последний отчет) показывает, что они отправили 183 запроса и ответили на 152, что затронуло 332 учетных записи и 4402 домена. Далее компания разбила запросы на группы: административные повестки в США, гражданские повестки, судебные постановления; поддержка договора о взаимной правовой помощи (MLAT), распоряжения о регистрации/отлове и отслеживании (PRTT), экстренные запросы, процесс национальной безопасности, ордера на обыск и распоряжения о прослушивании телефонных разговоров. Интересно, что категория, которая содержала наибольшее количество запросов, попала в корзину гражданских повесток.
LinkedIn, возможно, крупнейшая «профессиональная» социальная сеть, также выпустила отчет о запросах правительства. Их самые последние данные охватывали период с июля по декабрь 2021 года и показали, что было получено 552 запроса информации от LinkedIn, в том числе 302 от американских организаций и 250 от неамериканских организаций. Разбивка неамериканских организаций показала, что Германия и Индия лидируют в запросах.
Китай
В сентябре 2021 года Центр стратегических международных исследований (CSIS) опубликовал блог «Прозрачность с китайской спецификой: первый отчет Xiaomi», в котором подробно рассказывается о компании Xiomi и ее первом отчете о прозрачности. CSIS пришел к выводу, что «в отчете есть существенные недостатки, из-за которых трудно определить, представляет ли он собой подлинную попытку добиться прозрачности или это просто поверхностная попытка связи с общественностью; тем не менее, отчет по-прежнему ценен тем, что дает представление об общем подходе Xiaomi к управлению запросами правительства на пользовательские данные и ее взгляде на то, как завоевать доверие как официальных лиц, так и потребителей». Положительный показатель того, что эта китайская компания видит ценность в прозрачности.
Россия
ВКонтакте, она же Вконтакте, начала публиковать своего рода отчет о прозрачности, в котором специально исключалась информация, связанная с запросами правоохранительных органов. Таким образом, данные искажены и неполны. Зачем исключать запросы правоохранительных органов? Российское законодательство запрещает разглашение таких данных.
What You Should Do
Суть в том, что каждая компания должна иметь руководство по запросам данных правоохранительных органов и затем следовать ему, когда поступают законные запросы. Создание политики на лету никогда не отвечает интересам компании и оставляет дверь открытой для критики за непоследовательность или предвзятость. Ваши рекомендации должны включать контактное лицо, централизованное или децентрализованное по стране, а также то, что ваша компания ожидает получить от запрашивающей организации.
Кристофер Берджесс Китай, наблюдение за данными, Федеральное правительство, Россия, прозрачность
Избранная электронная книга
7 обязательных к прочтению электронных книг для специалистов по безопасности
Электронные книги Security Boulevard от AppSec до SecOps содержат подробные сведения по актуальным темам, важным для специалистов по кибербезопасности и DevSecOps. Наш штат писателей является лучшим в бизнесе, с многолетним практическим и отмеченным наградами опытом и полномочиями. Мы рады поделиться нашим 2019избранное. Взгляните и загрузите некоторые из … Подробнее
- ← Карманный справочник по факторному анализу информационных рисков (FAIR)
- Расшифровка SASE, Unified SASE и Universal SASE →
Кристофер Берджесс
Кристофер Берджесс (@burgessct) — писатель, спикер и комментатор по вопросам безопасности. Он является бывшим старшим советником по безопасности в Cisco и более 30 лет проработал в ЦРУ, что наградило его медалью за выдающиеся заслуги перед разведкой после выхода на пенсию.
