При очистке истории браузера Safari пользователи iPhone и iPad ожидают, что все записи будут окончательно удалены с их устройств, однако похоже, что функция кросс-платформенной синхронизации браузера Apple привела к тому, что iCloud тайно хранил историю просмотров гораздо более длительный период — от нескольких месяцев до более года.

Обнаружение iCloud, хранящего удаленную историю браузера, произошло благодаря программной компании Elcomsoft, которая разрабатывает инструменты для извлечения защищенных данных с устройств iOS. В беседе с Forbes генеральный директор Elcomsoft Владимир Каталов пояснил, что компания смогла восстановить «удаленную» историю браузера, датируемую более чем годичной давностью.

Apple хранила удаленную информацию браузера в отдельной записи iCloud под названием «tombstone» (надгробие), и в пресс-релизе, анонсирующем обновленное программное обеспечение Phone Breaker для извлечения сохраненной информации о просмотрах, Elcomsoft объясняет, что данные, вероятно, хранились как часть функции iCloud, которая синхронизирует историю просмотров между несколькими устройствами и обеспечивает ее удаление со всех устройств при очистке истории.

Суть в том, что Apple хранит синхронизированную историю просмотров Safari в облаке гораздо дольше, чем один, три или четыре месяца — даже для удаленных записей. Исследователям ElcomSoft удалось получить доступ к записям, которые были удалены более года назад, а это означает, что удаленные записи фактически не очищаются из iCloud.

Forbes попробовал использовать программное обеспечение Phone Breaker, созданное Elcomsoft, и смог получить почти 7000 записей, датируемых ноябрем 2015 года. В их число входили названия сайтов, URL-адреса, поисковые запросы в Google, количество посещений и дата и время удаления элементов. Неясно, почему Apple так долго хранила эту информацию, но, похоже, это было упущением, связанным с обеспечением удаления информации со всех устройств после очистки, а не преднамеренным действием.

Вскоре после того, как Forbes и Elcomsoft опубликовали свои выводы об iCloud, Elcomsoft заметил, что ранее доступные записи удаляются в рамках серверного исправления, тихо реализованного Apple. Все удаленные записи браузера старше двух недель были устранены. Из блога Elcomsoft:

Обновление: мы заранее уведомили СМИ об этой проблеме, и они обратились к Apple за комментариями. Насколько нам известно, Apple не ответила, но начала удалять старые записи истории. Насколько мы знаем, они могли просто переместить их на другие серверы, сделав удаленные записи недоступными извне; но мы никогда не знаем наверняка. В любом случае, на данный момент для большинства учетных записей iCloud мы видим записи истории только за последние две недели (хотя удаленные записи за эти две недели все еще существуют).

Хороший ход, Apple. Тем не менее, мы хотели бы получить объяснение.

Даже до того, как Apple внесла серверное исправление для обеспечения своевременного и окончательного удаления удаленной истории просмотров, получить доступ к этой информации было сложно. Требовалось специализированное криминалистическое программное обеспечение, такое как Phone Breaker, которое стоит недешево, и Phone Breaker работает только с идентификатором Apple ID и паролем пользователя или с токеном аутентификации, извлеченным с компьютера пользователя.

В iOS 9.3 и более поздних версиях (а также в Safari 9.1 и более поздних) Apple также начала преобразовывать URL-адреса в нечитаемые хеши вместо обычного текста при удалении истории браузера — это дополнительная мера безопасности, но, по словам Forbes, это не помешало инструменту Elcomsoft работать с новейшими версиями Safari.

Хотя теперь Apple, похоже, удаляет данные просмотров через две недели (или сделала их невидимыми для таких инструментов, как Phone Breaker), пользователи iCloud должны знать, что их история просмотров, включая очищенную историю браузера, хранится в iCloud как минимум в течение этих двух недель. Пользователи, которые не хотят этого, могут легко отключить функции синхронизации в разделе iCloud приложения «Настройки». Apple не комментировала находки Elcomsoft или предполагаемое серверное исправление.