Cosa sono api.smoot.apple.com e altri host con cui il mio iPhone sta segretamente parlando?

Guardando attraverso alcuni file di registro oggi ho trovato qualcosa di strano:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Apparentemente api.smoot.apple.comviene utilizzato per i suggerimenti di ricerca Spotlight in Yosemite, tranne durante l'intervallo di tempo in cui è stato eseguito il registro, non ho nemmeno tirato giù sulla mia schermata iniziale per aprire la ricerca e i suggerimenti Spotlight sono disabilitati nelle impostazioni di ricerca del telefono - per gli altri host sono collegati ad iTunes ma nessuna informazione su ciò che fanno esattamente ...

Ho fatto alcuni test e sembra che ogni volta che sblocco il mio telefono dopo un po 'di inattività, o poco dopo lo blocco di nuovo, una richiesta a quell'host viene attivata e ottiene una risposta con una dimensione media di 5kb ...

Tutti questi URL venivano chiamati quando il dispositivo era inattivo, sbloccato di recente e sulla schermata principale senza app in background.

Qualcuno può far luce su questo?

ios privacy

Purtroppo, quelli potrebbero essere tutti impostazioni diverse. Controlli di aggiornamento software automatici, controlli Xprotect, controlli di download automatici di iTunes e iBooks, condivisione di informazioni diagnostiche con Apple e sviluppatori di terze parti - ognuno dei quali ha impostazioni diverse per l'attivazione / disattivazione.

— bmike

Consiglierei di installare Little Snitch e di bloccare tutto ciò che non è ovviamente necessario e quindi verificare se vi sono funzionalità rilevanti.

— Remo

cosa legge quando usi Siri? #siriProxy

— Phill Pafford,

Il tuo iPhone non sta "segretamente" parlando con questi host o non verrebbero visualizzati nei registri.

— tubedogg,

@tubedogg compaiono nel registro di un proxy, sul dispositivo stesso non ci sono tracce di queste richieste ... Lo definirei piuttosto segreto.

Risposte:

Per quanto riguarda api.smoot.apple.com, da Hacker News . Nota che questo riguarda Yosemite, ma immagino che si applichi allo stesso modo a Mobile Safari su iOS, soprattutto perché il nome host è lo stesso (enfasi il mio):

Esistono due "Suggerimenti Spotlight":

"Suggerimenti Spotlight" in Safari

"Suggerimenti Spotlight" in Spotlight

Entrambi interrogano gli stessi server, utilizzano entrambi lo stesso nome ed entrambi restituiscono le stesse informazioni.

Una persona ragionevole potrebbe credere che, dopo aver seguito le istruzioni di Apple per disabilitare "Suggerimenti Spotlight" (il tipo Spotlight), abbiano disabilitato "Suggerimenti Spotlight" (il tipo Safari) - specialmente se in realtà non hai visto alcun suggerimento apparire in Safari (non l'ho fatto!).

Mark Rowe, sviluppatore Safari di Apple: "Probabilmente è una lamentela equa". https://twitter.com/bdash/status/524005838743035904

...

La query di rete pubblicata qui è in realtà un POST delle metriche di ricerca, non una query di ricerca live , ed è utilizzata come metrica per le prestazioni di ricerca locali e remote.

— tubedogg
fonte

L'ultima riga è confusa. Un POST HTTP di qualsiasi tipo fornisce informazioni al server anche se il payload è vuoto; tuttavia, come ho notato, le richieste GET non sono affatto vuote. Ogni lettera che un utente tocca o il tasto della tastiera premuto porta quella lettera, più longitudine e latitudine, insieme ad altre informazioni di rete ad Apple. Mi sembra molto "vivo". Vorresti chiarire cosa intendi con "non una query di ricerca live". Sembra diminuire questo problema o almeno descriverlo in modo impreciso.

— Michael Prescott,

@MichaelPrescott I miei commenti vengono copiati e incollati dal post collegato, che a sua volta si collega a questa sintesi . Questa è la "query di rete" a cui si fa riferimento. Non è live in quanto non sta ottenendo risultati da Apple, ma viene utilizzato per "metriche per le prestazioni di ricerca locale e remota", come indicato.

— tubedogg,

Penso che questo sia solo il servizio di keylogger remoto di Apple. Immagino che i dispositivi iOS si comportino allo stesso modo di OS X. Su OS X, ogni singolo tasto viene inviato a api.smoot.apple.com lungo longitudine e latitudine molto accurate e informazioni sul dispositivo.

Potrebbe essere un po 'sfocato, ma puoi vedere nella schermata qui sotto che ad ogni pressione di un tasto c'è una richiesta GET che porta queste informazioni ad Apple. Nell'istante in cui inizi a cercare sul tuo computer, digitando caratteri, ogni carattere digitato viene inviato ad Apple. Sulla richiesta finale viene inviata la stringa completa. Oltre al keylogging, puoi anche vedere che la tua posizione esatta durante la digitazione viene inviata.

Sulla tua rete locale, puoi provare a bloccarlo. Dubito che tu possa riguadagnare qualsiasi privacy se stai usando un dispositivo mobile.

Aggiornamento: 14 ottobre 2016 Controllo questo problema molto spesso. A partire da questa data e macOS Sierra versione 10.12, sta ancora trasmettendo dati abbondanti tramite richieste GET HTTP su ogni sequenza di tasti, tra cui latitudine e longitudine precise, dal vivo, per le ricerche di macchine locali. Mi auguro che ci sia stata una divulgazione completa in modo che tutti gli utenti siano stati pienamente consapevoli di quanto invasiva possa essere questa funzione e di opzioni chiare per disabilitarla o anche meglio, facendo in modo che i dati vengano inviati solo quando vengono esplicitamente scelti per l'invio. Mentre potrebbe essere un piccolo inconveniente se un utente ha scelto di farlo, sarebbe fantastico se potessimo fare clic su un pulsante o toccare la scheda per eseguire una ricerca sul Web rispetto ai nostri computer locali.

— Michael Prescott
fonte

Solo per chiarire, ogni singolo tasto preme il while searchingtuo computer e apparentemente il tuo iPhone viene inviato ad Apple.

— Michael Prescott,

Perché hanno bisogno del lat e long? Sembra irrilevante per migliorare le ricerche

— Kolob Canyon,

Dubito che registrare così tante informazioni in tempo reale su così tante persone, così tanti dispositivi, sia solo per migliorare le ricerche. Le possibilità sono limitate solo dall'immaginazione. Cosa faresti se avessi accesso a un sistema in grado di individuare qualsiasi dispositivo, qualsiasi persona, con un record di quasi tutto ciò che usano il telefono o il computer per fare? Pubblica annunci pubblicitari solo per quella persona, migliora i risultati della ricerca, aiutali a trovare un ristorante, rubare piani aziendali, perseguitarli. Le persone dovrebbero essere in grado di vedere chiaramente quando e cosa stanno facendo i loro dispositivi ed essere in grado di fermarlo senza una laurea in CS.

— Michael Prescott,

Cos'è questo strumento che stai usando?

— hello_harry,

@hello_harry "Charles Proxy"

— Michael Prescott,

api.smoot.apple.com è un'altra norma nel settore. Fa parecchie cose come fanno la maggior parte dei produttori di API. Viene utilizzato per assistere gli utenti e semplificare la loro vita fornendo suggerimenti, pubblicità e qualsiasi cosa il fornitore ritenga appropriata.

Tuttavia, nessun venditore è un santo e Apple non è diversa; è un affare. Se ciò include l'uso della rete per trasmettere loro i dati in forma aggregata o mediante la pressione dei tasti, non hanno motivo di non inserirsi nella pipeline per raccogliere e utilizzare ciò che ritengono opportuno.

È lo stesso con Google. Nelle impostazioni di Chrome, puoi disabilitare tutto, ma non puoi impedirgli di comunicare con la sua API. Ho provato alcuni mesi fa e Chrome non avrebbe eseguito il rendering di una singola pagina Web che ho inserito nella barra degli indirizzi se avessi bloccato l'API di Google. Se ho disattivato tutte queste impostazioni, cosa viene inviato a Google? Quindi, Chrome si è già imposto nella pipeline di dati dell'utente. È per definizione un trojan, ma non consente di iniziare a chiamare. La tendenza del settore è iniziata molti anni fa.

Intel WiDi ... Ho davvero bisogno di connettermi a Intel api ogni volta che lancio WiDi sul mio PC ... davvero Intel? Non riesco a rinunciare all'aggiornamento automatico?

Microsoft Windows 10 ... cerca di impedire che si cambi da solo per facilitare la "sicurezza" o la raccolta di dati relativi al tuo ambiente desktop. Hai accettato di autorizzarlo quando hai installato Windows.

In tutta onestà per i fornitori di app, è la norma e gli utenti lo consentono perché desiderano la funzionalità. Un'app legittima non verrà installata a meno che gli utenti non accettino le autorizzazioni di cui l'app ha bisogno. Nessuno si preoccupa di guardare tutto questo perché, ehi, ho bisogno di un'app torcia in questo momento; chi se ne frega se richiede autorizzazioni per leggere i miei messaggi di testo e leggere la mia scheda SD ... per poterlo installare ... così posso usare il mio flash della fotocamera come una torcia in questo momento. La maggior parte delle app sono in anticipo con i loro requisiti di autorizzazione ... la maggior parte degli utenti non se ne cura; fai accadere quello che voglio adesso.

E solo per chiarire, il post di Michael Prescott sopra su "durante la ricerca" ... pensi che la tastiera del tuo telefono, che viene utilizzata per i messaggi di testo e ogni altra app sul tuo telefono non comunichi con un API? (Dispositivo Android o Apple non rilevante)

Per promuovere un utente e correlare i modelli che i fornitori possono utilizzare, i fornitori devono tenere traccia in modo univoco degli utenti per il marketing mirato prima di spersonalizzarlo ... convenientemente, il sistema operativo di un utente (apple o windows) ha un ID annuncio abilitato automaticamente ...

— J Research
fonte

Probabilmente dovremmo essere "insulti". È sicuramente un registratore di battiture e sono d'accordo, probabilmente è giusto classificarlo anche come trojan. Le persone devono capire la portata di questo, e ancor di più, i pericoli. Sottovalutarlo come se fosse una norma accettabile non aiuta. Non vi è alcun motivo per un'azienda o un hacker di incorporare i registratori di tasti, acquisire e trasmettere TUTTE le interazioni con un dispositivo insieme ai dati geografici e di rete. Se fosse un individuo a farlo, ne parleremmo della criminalità, non delle API RESTful, delle pipeline di dati, di altre chiacchiere tecniche.

— Michael Prescott,

Mi piace molto la tua risposta, ma non sono assolutamente d'accordo su "gli utenti lo consentono perché vogliono la funzionalità". Non voglio E non voglio che le cose vengano fatte alle mie spalle. Purtroppo "è la norma" ma non dovrebbe e non sarebbe se gli utenti avessero effettivamente una scelta.

— digitaldonkey,