¿Qué son api.smoot.apple.com y otros hosts con los que mi iPhone está hablando en secreto?

Mirando a través de algunos archivos de registro hoy encontré algo extraño:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Aparentemente api.smoot.apple.comse usa para las sugerencias de búsqueda de Spotlight en Yosemite, excepto que durante el período de tiempo en que se tomó el registro, ni siquiera desplegué mi pantalla de inicio para abrir la búsqueda, y las sugerencias de Spotlight están desactivadas en la configuración de búsqueda del teléfono, para los otros hosts están vinculados a iTunes pero no hay información sobre lo que hacen exactamente ...

Hice algunas pruebas y parece que cada vez que desbloqueo mi teléfono después de un poco de inactividad, o poco después de volver a bloquearlo, se dispara una solicitud a ese host y obtiene una respuesta con un tamaño promedio de 5kb ...

Se llamaron a todas estas URL cuando el dispositivo estaba inactivo, recién desbloqueado y en la pantalla de inicio sin aplicaciones en segundo plano.

Alguien puede arrojar algo de luz sobre esto ?

ios privacy

Lamentablemente, esos podrían ser diferentes ajustes. Comprobaciones automáticas de actualizaciones de software, comprobaciones de Xprotect, comprobaciones de descargas automáticas de iTunes e iBooks, compartiendo información de diagnóstico con Apple y desarrolladores externos, cada uno de los cuales tiene diferentes configuraciones para habilitar / deshabilitar.

— bmike

Recomiendo instalar Little Snitch y bloquear todo lo que obviamente no es necesario y luego verificar si alguna funcionalidad relevante se ve afectada.

— pez remo

¿Qué lee cuando usas Siri? #siriProxy

— Phill Pafford

Su iPhone no está hablando "en secreto" con estos hosts o no aparecerían en los registros.

— tubedogg

@tubedogg aparecen en el registro de un proxy, en el dispositivo en sí no hay rastros de estas solicitudes ... Yo llamaría eso bastante secreto.

Respuestas:

En cuanto a api.smoot.apple.com, de Hacker News . Tenga en cuenta que esto se refiere a Yosemite, pero me imagino que se aplica de manera similar a Mobile Safari en iOS, especialmente porque el nombre de host es el mismo (énfasis mío):

Hay dos "Sugerencias de Spotlight":

"Sugerencias de Spotlight" en Safari

"Sugerencias de Spotlight" en Spotlight

Ambos consultan los mismos servidores, ambos usan el mismo nombre y ambos devuelven la misma información.

Una persona razonable podría creer que, después de seguir las instrucciones de Apple para deshabilitar las "Sugerencias de Spotlight" (el tipo de Spotlight), deshabilitó las "Sugerencias de Spotlight" (el tipo de Safari), especialmente si en realidad no viste ninguna sugerencia en Safari (¡no lo hice!).

Mark Rowe, desarrollador de Safari en Apple: "Esa es probablemente una queja justa". https://twitter.com/bdash/status/524005838743035904

...

La consulta de red publicada aquí es en realidad una POST de métricas de búsqueda, no una consulta de búsqueda en vivo , y se utiliza como métrica para el rendimiento de búsqueda local y remota.

— tubedogg
fuente

Tu última línea es confusa. Un HTTP POST de cualquier tipo proporciona información al servidor incluso si la carga está vacía; Sin embargo, como he señalado, las solicitudes GET no están vacías en absoluto. Cada letra que un usuario toca o pulsa la tecla del teclado lleva esa letra, más la longitud y latitud, junto con otra información de red a Apple. Eso me parece muy "en vivo". ¿Podría aclarar qué quiere decir con "no una consulta de búsqueda en vivo". Parece disminuir este problema o al menos lo describe incorrectamente.

— Michael Prescott

@MichaelPrescott Mis comentarios se copian y pegan desde la publicación vinculada, que a su vez se vincula a esta esencia . Esa es la "consulta de red" a la que se hace referencia. No se trata de que no esté obteniendo resultados de Apple, sino que se está utilizando para "métricas para el rendimiento de búsqueda local y remota" como se indicó.

— tubedogg

Creo que esto es solo el servicio remoto de registro de teclas de Apple. Me imagino que los dispositivos iOS se comportan igual que OS X. En OS X, cada pulsación de tecla se envía a api.smoot.apple.com junto con información muy precisa sobre la longitud, la latitud y el dispositivo.

Puede ser un poco confuso, pero puede ver en la captura de pantalla a continuación que con cada pulsación de tecla hay una solicitud GET que lleva esta información a Apple. En el instante inmediato en que comienza a buscar en su computadora, escribiendo caracteres, cada carácter que escribe se envía a Apple. En la solicitud final se envía la cadena completa. Además del registro de teclas, también puede ver que se envía su ubicación exacta a medida que escribe.

En su red local, puede intentar bloquear esto. Dudo que pueda recuperar la privacidad si está utilizando un dispositivo móvil.

Actualización: 14 de octubre de 2016 Reviso este problema con mucha frecuencia. A partir de esta fecha y de la versión 10.12 de macOS Sierra, todavía está transmitiendo abundantes datos a través de solicitudes GET HTTP en cada pulsación de tecla, incluyendo latitud y longitud precisas, en vivo, para búsquedas automáticas locales. Desearía que hubiera una revelación completa para que todos los usuarios estuvieran plenamente conscientes de cuán invasiva puede ser esta característica y opciones claras para deshabilitarla o incluso mejor, para que los datos solo se envíen cuando se elija explícitamente. Si bien puede ser un inconveniente menor si un usuario opta por hacerlo, sería genial si pudiéramos hacer clic en un botón o presionar la pestaña para realizar una búsqueda a través de la web en nuestras máquinas locales.

— Michael Prescott
fuente

Solo para aclarar, cada tecla presiona while searchingsu computadora y aparentemente su iPhone se envía a Apple.

— Michael Prescott

¿Por qué necesitan el lat y el largo? Parece irrelevante para mejorar las búsquedas

— Kolob Canyon

Dudo que registrar tanta información en tiempo real sobre tanta gente, tantos dispositivos, sea solo para mejorar las búsquedas. Las posibilidades están limitadas solo por la imaginación. ¿Qué haría si tuviera acceso a un sistema que pudiera identificar cualquier dispositivo, cualquier persona, con un registro de la mayoría de las cosas para las que usan su teléfono o computadora? Publique anuncios solo para esa persona, mejore sus resultados de búsqueda, ayúdelos a encontrar un restaurante, robe planes de negocios, aceche. Las personas deberían poder ver claramente cuándo y qué están haciendo sus dispositivos y poder detenerlo sin un título de CS.

— Michael Prescott

¿Cuál es esta herramienta que estás usando?

— hello_harry

@hello_harry "Charles Proxy"

— Michael Prescott

api.smoot.apple.com es otra norma en la industria. Hace bastantes cosas como la mayoría de las API de los proveedores. Se utiliza para ayudar a los usuarios y facilitarles la vida al proporcionar sugerencias, anuncios y lo que el proveedor considere apropiado.

Sin embargo, ningún vendedor es un santo y Apple no es diferente; Es un negocio. Si eso incluye el uso de su red para transmitir sus datos en conjunto o por pulsación de tecla, entonces no tienen ninguna razón para no ponerse en la tubería para recopilar y usar lo que consideren apropiado.

Es lo mismo con Google. En la configuración de Chrome, puede deshabilitar todo, pero no puede evitar que se comunique con su API. Lo probé hace unos meses y Chrome no mostraría una sola página web que puse en la barra de direcciones si bloqueaba la API de Google. Si he desactivado todas esas configuraciones, ¿qué se envía a Google? Entonces, Chrome ya se ha forzado en la tubería de datos del usuario. Es, por definición, un troyano, pero no comencemos a llamar. La tendencia de la industria comenzó hace muchos años.

Intel WiDi ... Realmente necesito conectarme a la API de Intel cada vez que ejecuto WiDi en mi PC ... ¿realmente Intel? No pude dejar de usar el actualizador automático?

Microsoft Windows 10 ... solo trate de evitar que se modifique para facilitar la "seguridad" o la recopilación de datos sobre su entorno de escritorio. Acordó permitirlo cuando instaló Windows.

Para ser justos con los proveedores de aplicaciones, es la norma y los usuarios lo permiten porque quieren la funcionalidad. Una aplicación legítima no se instalará a menos que los usuarios estén de acuerdo con los permisos que la aplicación dice que necesita. Nadie se molesta en mirar todo eso porque, oye, necesito una aplicación de linterna en este momento; a quién le importa si requiere permisos para leer mis mensajes de texto y leer mi tarjeta SD ... para que pueda instalarlo ... para poder usar el flash de mi cámara como una linterna en este momento. La mayoría de las aplicaciones son por adelantado con sus requisitos de permiso ... a la mayoría de los usuarios simplemente no les importa; hacer que lo que quiero suceda ahora mismo.

Y solo para aclarar, la publicación anterior de Michael Prescott sobre "mientras busca" ... ¿cree que el teclado de su teléfono, que se usa para mensajes de texto y cualquier otra aplicación en su teléfono no se comunica con una API? (Dispositivo Android o Apple inmaterial)

Para dar tendencia a un usuario y correlacionar los patrones que los proveedores pueden usar, los proveedores deben realizar un seguimiento exclusivo de los usuarios para el marketing dirigido antes de que lo despersonalicen ... convenientemente, el sistema operativo de un usuario (apple o windows) tiene una identificación de publicidad habilitada automáticamente ...

— J Research
fuente

Probablemente deberíamos ser "insultos". Definitivamente es un registrador de pulsaciones de teclas y estoy de acuerdo, probablemente también sea justo clasificarlo como un troyano. La gente necesita comprender el alcance de esto, y aún más, los peligros. Menospreciarlo como si fuera una norma aceptable no ayuda. No hay ninguna razón para que una empresa o hacker incruste registradores de pulsaciones de teclas, capture y transmita TODAS las interacciones con un dispositivo junto con datos geográficos y de red. Si lo hiciera un individuo, estaríamos hablando de su criminalidad, no de las API RESTful, las canalizaciones de datos y otros balbuceos técnicos.

— Michael Prescott

Realmente me gusta su respuesta, pero definitivamente no estoy de acuerdo con "los usuarios lo permiten porque quieren la funcionalidad". No quiero Y no quiero que se hagan cosas a mis espaldas. Lamentablemente "es la norma", pero no debería y no lo haría si los usuarios realmente tuvieran una opción.

— digitaldonkey