O que api.smoot.apple.com e outros hosts com os quais meu iPhone está conversando secretamente?

Examinando alguns arquivos de log hoje, encontrei algo estranho:

TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4629 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.253 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4930 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4931 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.250 -
TCP_MISS/200 4656 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 5206 CONNECT api.smoot.apple.com:443 - HIER_DIRECT/17.252.11.248 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1041 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 6959 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 1057 CONNECT bookkeeper.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22836 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 22868 CONNECT init.itunes.apple.com:443 - HIER_DIRECT/23.217.226.217 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -
TCP_MISS/200 5155 CONNECT xp.apple.com:443 - HIER_DIRECT/17.154.66.107 -

Aparentemente, api.smoot.apple.comé usado para sugestões de pesquisa do Spotlight em Yosemite, exceto durante o período em que o registro foi feito. Eu nem puxei a tela inicial para abrir a pesquisa e as sugestões do Spotlight estão desativadas nas configurações de pesquisa do telefone - para os outros hosts eles estão vinculados ao iTunes, mas nenhuma informação sobre o que eles fazem exatamente ...

Fiz alguns testes e parece que toda vez que desbloqueio meu telefone após um pouco de inatividade ou, logo após bloqueá-lo novamente, uma solicitação para esse host é acionada e obtém uma resposta com um tamanho médio de 5kb ...

Todos esses URLs foram chamados quando o dispositivo estava ocioso, desbloqueado recentemente e na tela inicial sem aplicativos em segundo plano.

Alguém pode lançar alguma luz sobre isso?

Em relação a api.smoot.apple.com, do Hacker News . Observe que isso se refere a Yosemite, mas eu imagino que se aplique da mesma forma ao Mobile Safari no iOS, especialmente porque o nome do host é o mesmo (ênfase minha):

Existem duas "Sugestões Spotlight":

• "Sugestões em destaque" no Safari
• "Sugestões do Spotlight" no Spotlight

Ambos consultam os mesmos servidores, usam o mesmo nome e retornam as mesmas informações.

Uma pessoa razoável pode acreditar que, depois de seguir as instruções da Apple para desativar as "Sugestões Spotlight" (do tipo Spotlight), elas desativaram as "Sugestões Spotlight" (do tipo Safari) - especialmente se você realmente não viu nenhuma sugestão aparecer em Safari (eu não!).

Mark Rowe, desenvolvedor de Safari da Apple: "Provavelmente é uma reclamação justa". https://twitter.com/bdash/status/524005838743035904

...

A consulta de rede postada aqui é na verdade um POST de métricas de pesquisa, não uma consulta de pesquisa ao vivo , e é usada como métrica para o desempenho da pesquisa local e remota.

Eu acho que este é apenas o serviço de keylogger remoto da Apple. Imagino que os dispositivos iOS se comportem da mesma maneira que o OS X. No OS X, cada pressão de tecla é enviada para api.smoot.apple.com ao longo de longitude e latitude e informações de dispositivo muito precisas.

Pode ser um pouco confuso, mas você pode ver na captura de tela abaixo que, a cada pressionamento de tecla, há uma solicitação GET que carrega essas informações para a Apple. No instante em que você começa a pesquisar no seu computador, digitando caracteres, cada caractere digitado é enviado para a Apple. Na solicitação final, a cadeia completa é enviada. Além do registro de chaves, também é possível ver que a sua localização exata enquanto você digita é enviada.

Na sua rede local, você pode tentar bloquear isso. Duvido que você possa recuperar alguma privacidade se estiver usando um dispositivo móvel.

Atualização: 14 de outubro de 2016 Eu verifico esse problema com tanta frequência. Até essa data e no macOS Sierra versão 10.12, ele ainda está transmitindo dados abundantes por meio de solicitações GET HTTP em cada pressionamento de tecla, incluindo latitude e longitude precisas, ao vivo, para pesquisas em máquinas locais. Eu gostaria que houvesse divulgação completa para que todos os usuários tivessem consciência de quão invasivo esse recurso pode ser e opções claras para desativá-lo ou até melhor, tornando-o para que os dados sejam enviados apenas quando escolhidos explicitamente. Embora possa ser um pequeno inconveniente se um usuário optar por fazê-lo, seria ótimo se pudéssemos clicar em um botão ou clicar na guia para realizar uma pesquisa via web versus nossas máquinas locais.

api.smoot.apple.com é outra norma do setor. Ele faz algumas coisas, como a maioria das APIs de fornecedores. É usado para ajudar os usuários e facilitar suas vidas, fornecendo sugestões, anúncios e o que o fornecedor considerar apropriado.

No entanto, nenhum fornecedor é um santo e a Apple não é diferente; é um negócio. Se isso inclui o uso de sua rede para transmitir seus dados a eles de forma agregada ou por pressionamento de tecla, eles não têm motivos para não se colocar no pipeline para coletar e usar o que consideram apropriado.

É o mesmo com o Google. Nas configurações do Chrome, você pode desativar tudo, mas não pode impedir que ele se comunique com sua API. Testei há alguns meses e o Chrome não renderizaria uma única página da Web que eu colocasse na barra de endereços se eu bloqueasse a API do Google. Se eu desabilitei todas essas configurações, o que está sendo enviado ao Google? Portanto, o Chrome já se forçou a entrar no pipeline de dados do usuário. É por definição um cavalo de Troia, mas não vamos começar a chamar nomes. A tendência da indústria começou há muitos anos.

Intel WiDi ... Eu realmente preciso me conectar à API da Intel toda vez que inicio o WiDi no meu PC ... realmente Intel? Não foi possível desativar o atualizador automático?

Microsoft Windows 10 ... tente impedir que ele mude para facilitar a "segurança" ou a coleta de dados sobre o ambiente da área de trabalho. Você concordou em permitir isso quando instalou o Windows.

Para ser justo com os fornecedores de aplicativos, é a norma e os usuários permitem porque desejam a funcionalidade. Um aplicativo legítimo não será instalado, a menos que os usuários concordem com as permissões que o aplicativo solicitar. Ninguém se incomoda em olhar para tudo isso porque, ei, preciso de um aplicativo de lanterna agora; quem se importa se precisar de permissões para ler minhas mensagens de texto e ler meu cartão SD ... para que eu possa instalá-lo ... para que eu possa usar o flash da câmera como uma lanterna agora. A maioria dos aplicativos é honesta com os requisitos de permissão ... a maioria dos usuários simplesmente não se importa; faça o que eu quero que aconteça agora.

E só para esclarecer, a postagem de Michael Prescott acima sobre "enquanto pesquisava" ... você acha que o teclado do telefone, usado para mensagens de texto e todos os outros aplicativos do telefone, não se comunicam com uma API? (Dispositivo Android ou Apple irrelevante)

Para criar tendências para um usuário e correlacionar padrões que os fornecedores podem usar, os fornecedores precisam rastrear os usuários de maneira direcionada para o marketing direcionado antes de despersonalizá-lo ... convenientemente, o sistema operacional do usuário (apple ou windows) tem um ID de anúncio ativado automaticamente ...