Was sind api.smoot.apple.com und andere Hosts, mit denen mein iPhone heimlich spricht?

Beim Durchsuchen einiger Protokolldateien habe ich heute etwas Seltsames gefunden:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Wird anscheinend api.smoot.apple.comfür Spotlight-Suchvorschläge in Yosemite verwendet, außer dass ich während des Zeitraums, in dem das Protokoll erstellt wurde, nicht einmal auf meinem Startbildschirm nach unten gezogen habe, um die Suche zu öffnen, und die Spotlight-Vorschläge in den Sucheinstellungen des Telefons deaktiviert sind - für die anderen Hosts Sie sind mit iTunes verknüpft, haben aber keine Informationen darüber, was sie genau tun ...

Ich habe einige Tests durchgeführt und es scheint, als würde jedes Mal, wenn ich mein Telefon nach ein wenig Inaktivität entsperre oder kurz nachdem ich es wieder sperre, eine Anfrage an diesen Host ausgelöst und eine Antwort mit einer durchschnittlichen Größe von 5 KB erhalten ...

Alle diese URLs wurden aufgerufen, als das Gerät inaktiv, frisch entsperrt und auf dem Startbildschirm ohne Apps im Hintergrund war.

Kann jemand etwas Licht ins Dunkel bringen?

ios privacy

Leider können dies alles unterschiedliche Einstellungen sein. Automatische Software-Update-Prüfungen, Xprotect-Prüfungen, automatische Download-Prüfungen für iTunes und iBooks, Weitergabe von Diagnoseinformationen an Apple und Entwickler von Drittanbietern - jede hat unterschiedliche Einstellungen zum Ein- und Ausschalten.

— bmike

Ich würde empfehlen, Little Snitch zu installieren und alles zu blockieren, was offensichtlich nicht notwendig ist, und dann zu prüfen, ob relevante Funktionen beeinträchtigt sind.

— Oarfish

Was liest es, wenn Sie Siri verwenden? #siriProxy

— Phill Pafford

Ihr iPhone spricht nicht "heimlich" mit diesen Hosts, da sie sonst nicht in den Protokollen angezeigt werden.

— Tubedogg

@tubedogg sie erscheinen im Protokoll eines Proxys, auf dem Gerät selbst gibt es keine Spuren dieser Anfragen ... Ich würde das als ziemlich geheim bezeichnen.

Antworten:

In Bezug auf api.smoot.apple.com von Hacker News . Beachten Sie, dass dies Yosemite betrifft, aber ich würde mir vorstellen, dass dies auch für Mobile Safari unter iOS gilt, insbesondere da der Hostname derselbe ist (Hervorhebung von mir):

Es gibt zwei "Spotlight-Vorschläge":

"Spotlight-Vorschläge" in Safari

"Spotlight-Vorschläge" in Spotlight

Beide fragen dieselben Server ab, beide verwenden denselben Namen und beide geben dieselben Informationen zurück.

Eine vernünftige Person könnte glauben, dass sie, nachdem sie die Anweisungen von Apple zum Deaktivieren von "Spotlight-Vorschlägen" (der Spotlight-Art) befolgt hat, "Spotlight-Vorschläge" (die Safari-Art) deaktiviert hat - insbesondere, wenn Sie tatsächlich keine Vorschläge in gesehen haben Safari (habe ich nicht!).

Mark Rowe, Safari-Entwickler bei Apple: "Das ist wahrscheinlich eine faire Beschwerde." https://twitter.com/bdash/status/524005838743035904

...

Die hier veröffentlichte Netzwerkabfrage ist eigentlich ein POST für Suchmetriken, keine Live-Suchabfrage , und wird als Metrik für die Leistung der lokalen und Remote-Suche verwendet.

— tubedogg
quelle

Ihre letzte Zeile ist verwirrend. Ein HTTP-POST jeglicher Art liefert dem Server Informationen, auch wenn die Nutzdaten leer sind. Wie ich jedoch bemerkt habe, sind die GET-Anforderungen selbst überhaupt nicht leer. Jeder Buchstabe, den ein Benutzer tippt oder auf die Tastatur drückt, enthält diesen Buchstaben sowie Längen- und Breitengrad sowie andere Netzwerkinformationen an Apple. Das scheint mir sehr "lebendig" zu sein. Würden Sie bitte klarstellen, was Sie unter "keine Live-Suchanfrage" verstehen? Es scheint dieses Problem zu verringern oder es zumindest ungenau zu beschreiben.

— Michael Prescott

@MichaelPrescott Meine Kommentare werden aus dem verlinkten Beitrag kopiert und eingefügt, der wiederum auf diesen Kern verweist . Dies ist die "Netzwerkabfrage", auf die verwiesen wird. Es ist nicht live, dass es keine Ergebnisse von Apple erhält, sondern es wird wie angegeben für "Metriken für die lokale und Remote-Suchleistung" verwendet.

— Tubedogg

Ich denke, dies ist nur Apples Remote-Keylogger-Dienst. Ich stelle mir vor, iOS-Geräte verhalten sich genauso wie OS X. Unter OS X wird jeder einzelne Tastendruck mit sehr genauen Längen- und Breitengraden sowie Geräteinformationen an api.smoot.apple.com gesendet.

Es mag etwas unscharf sein, aber Sie können in der Abbildung unten sehen, dass bei jedem Tastendruck eine GET-Anfrage vorliegt, die diese Informationen an Apple weiterleitet. In dem Moment, in dem Sie mit der Suche auf Ihrem Computer beginnen und Zeichen eingeben, wird jedes eingegebene Zeichen an Apple gesendet. Bei der letzten Anforderung wird die vollständige Zeichenfolge gesendet. Neben dem Keylogging können Sie auch sehen, dass Ihr genauer Standort während der Eingabe gesendet wird.

In Ihrem lokalen Netzwerk können Sie versuchen, dies zu blockieren. Ich bezweifle, dass Sie Ihre Privatsphäre wiedererlangen können, wenn Sie ein mobiles Gerät verwenden.

Update: 14. Oktober 2016 Ich überprüfe dieses Problem immer wieder. Ab diesem Datum und in macOS Sierra Version 10.12 werden bei jedem Tastendruck noch reichlich Daten über GET-HTTP-Anforderungen übertragen, einschließlich präziser Längen- und Breitengrade, live für lokale Maschinensuchen. Ich wünschte, es gäbe eine vollständige Offenlegung, damit alle Benutzer vollständig darauf aufmerksam gemacht würden, wie invasiv diese Funktion sein kann, und klare Optionen zum Deaktivieren oder sogar noch besser, sodass Daten nur gesendet werden, wenn sie ausdrücklich zum Senden ausgewählt wurden. Es ist zwar eine kleine Unannehmlichkeit, wenn sich ein Benutzer dafür entscheidet, aber es wäre einfach großartig, wenn wir auf eine Schaltfläche klicken oder auf die Tabulatortaste klicken könnten, um eine Suche über das Internet im Vergleich zu unseren lokalen Computern durchzuführen.

— Michael Prescott
quelle

Zur Verdeutlichung wird jeder einzelne Tastendruck auf while searchingIhren Computer und anscheinend auf Ihr iPhone an Apple gesendet.

— Michael Prescott

Warum brauchen sie das Lat und Long? Scheint irrelevant, um die Suche besser zu machen

— Kolob Canyon

Ich bezweifle, dass das Aufzeichnen so vieler Informationen in Echtzeit über so viele Menschen, so viele Geräte nur dazu dient, die Suche zu verbessern. Die Möglichkeiten sind nur durch die Vorstellungskraft begrenzt. Was würden Sie tun, wenn Sie Zugriff auf ein System hätten, mit dem jedes Gerät und jede Person genau erfasst werden kann, wobei fast alles aufgezeichnet wird, wofür sie ihr Telefon oder ihren Computer verwenden? Veröffentlichen Sie Anzeigen nur für diese Person, verbessern Sie ihre Suchergebnisse, helfen Sie ihnen, ein Restaurant zu finden, stehlen Sie Geschäftspläne und verfolgen Sie sie. Die Menschen sollten klar sehen können, wann und was ihre Geräte tun, und es ohne CS-Abschluss stoppen können.

— Michael Prescott

Was ist dieses Tool, das Sie verwenden?

— Hallo_harry

@hello_harry "Charles Proxy"

— Michael Prescott

api.smoot.apple.com ist eine weitere Norm in der Branche. Es macht einige Dinge, wie es die meisten Anbieter-APIs tun. Es wird verwendet, um Benutzern zu helfen und ihr Leben zu erleichtern, indem Vorschläge, Anzeigen und alles, was der Anbieter für angemessen hält, bereitgestellt werden.

Kein Verkäufer ist jedoch ein Heiliger, und Apple ist nicht anders. Es ist ein Geschäft. Wenn dazu gehört, dass Sie Ihr Netzwerk verwenden, um Ihre Daten insgesamt oder per Tastendruck an sie zu übertragen, haben sie keinen Grund, sich nicht in die Pipeline zu setzen, um das zu sammeln und zu verwenden, was sie für angemessen halten.

Bei Google ist es genauso. In den Chrome-Einstellungen können Sie alles deaktivieren, aber nicht verhindern, dass es mit der API kommuniziert. Ich habe vor ein paar Monaten getestet und Chrome würde keine einzige Webseite rendern, die ich in die Adressleiste eingefügt habe, wenn ich die Google-API blockiert hätte. Was wird an Google gesendet, wenn ich alle diese Einstellungen deaktiviert habe? Chrome hat sich also bereits in die Datenpipeline des Nutzers gezwungen. Es ist per Definition ein Trojaner, aber wir dürfen nicht mit dem Aufrufen von Namen beginnen. Der Branchentrend begann vor vielen Jahren.

Intel WiDi ... Ich muss wirklich jedes Mal eine Verbindung zur Intel-API herstellen, wenn ich WiDi auf meinem PC starte ... wirklich Intel? Ich konnte den Auto-Updater nicht deaktivieren.

Microsoft Windows 10 ... versuchen Sie einfach zu verhindern, dass es sich selbst ändert, um die "Sicherheit" oder das Sammeln von Daten in Bezug auf Ihre Desktop-Umgebung zu erleichtern. Sie haben zugestimmt, dies bei der Installation von Windows zuzulassen.

Aus Gründen der Fairness gegenüber App-Anbietern ist dies die Norm, und Benutzer erlauben dies, weil sie die Funktionalität wünschen. Eine legitime App wird nur installiert, wenn Benutzer den Berechtigungen zustimmen, die die App benötigt. Niemand stört sich daran, das alles anzuschauen, denn hey, ich brauche gerade eine Taschenlampen-App. Wen interessiert es, ob zum Lesen meiner Textnachrichten und zum Lesen meiner SD-Karte Berechtigungen erforderlich sind ... damit ich sie installieren kann ... damit ich meinen Kamerablitz jetzt wie eine Taschenlampe verwenden kann. Die meisten Apps haben ihre Berechtigungsanforderungen im Vordergrund ... die meisten Benutzer kümmern sich einfach nicht darum; mach was ich will jetzt passieren.

Und um das zu verdeutlichen, Michael Prescotts Beitrag über "während der Suche" ... glauben Sie, dass Ihre Telefontastatur, die für Textnachrichten verwendet wird und jede andere App auf Ihrem Telefon nicht mit einer API kommuniziert? (Android- oder Apple-Gerät unerheblich)

Um einen Benutzer zu trendieren und Muster zu korrelieren, die Anbieter verwenden können, müssen Anbieter Benutzer für gezieltes Marketing eindeutig verfolgen, bevor sie es entpersönlichen. Praktischerweise wird für das Betriebssystem eines Benutzers (Apple oder Windows) automatisch eine Werbe-ID aktiviert.

— J Forschung
quelle

Wir sollten wahrscheinlich "Namensnennung" sein. Es ist definitiv ein Tastenanschlag-Logger und ich stimme zu, es ist wahrscheinlich fair, auch als Trojaner zu klassifizieren. Die Menschen müssen das Ausmaß und vor allem die Gefahren verstehen. Es hilft nicht, es herunterzuspielen, als wäre es eine akzeptable Norm. Es gibt keinen Grund für ein Unternehmen oder einen Hacker, Tastendruck-Logger einzubetten, ALLE Interaktionen mit einem Gerät zusammen mit geografischen Daten und Netzwerkdaten zu erfassen und zu übertragen. Wenn es eine Person wäre, die es tut, würden wir über die Kriminalität sprechen, nicht über die RESTful-APIs, Datenpipelines und andere technische Probleme.

— Michael Prescott

Ihre Antwort gefällt mir sehr gut, aber ich bin definitiv anderer Meinung als "Benutzer erlauben es, weil sie die Funktionalität wollen". Ich will nicht Und ich möchte nicht, dass Dinge hinter meinem Rücken erledigt werden. Leider "ist es die Norm", aber es sollte nicht und es würde nicht, wenn Benutzer tatsächlich eine Wahl hätten.

— Digitaldonkey