Фоновые улучшения безопасности в операционных системах Apple
Фоновые улучшения безопасности поддерживаются и включены для будущих релизов начиная с iOS 26.1, iPadOS 26.1 и macOS 26.1. Это позволяет быстро распространять текущие небольшие релизы функций безопасности в периоды между обновлениями ПО — например, для таких компонентов, как браузер Safari, стек платформы WebKit и другие системные библиотеки, которые выигрывают от небольших текущих обновлений безопасности. В редких случаях, когда возникают проблемы совместимости, фоновые улучшения безопасности могут быть временно удалены, а затем улучшены в следующем обновлении ПО.
Содержимое фоновых улучшений, относящееся к системе безопасности, публикуется в статье службы поддержки Apple Выпуски безопасности Apple.
Фоновые улучшения безопасности имеют указанные отличия от обновлений ПО.
На устройствах с macOS улучшения безопасности Safari, распространяемые в составе фоновых улучшений, становятся активны сразу после перезапуска Safari, даже до перезагрузки всей операционной системы.
Фоновые улучшения безопасности активируются сразу после перезагрузки. Повторное криптографическое запечатывание системного тома не требуется, поэтому устройству не нужно циклически проходить диск RAM.
Для фоновых улучшений безопасности требуется намного меньший уровень заряда аккумулятора, чем для установки обновлений ПО.
Фоновые улучшения безопасности можно удалить; при этом на устройстве восстанавливается базовый уровень обновления ПО до применения улучшения.
Удаленное фоновое улучшение безопасности можно применить заново.
Системный том в iOS, iPadOS и macOS реорганизован для поддержки фоновых улучшений безопасности. Содержимое, которое можно изменять посредством фоновых улучшений безопасности, перемещено в пространства cryptex — оптимизированные, криптографически запечатанные области диска, которые находятся на предзагрузочном томе вместе с другим загрузочным ПО. Пространства cryptex имеют различные подтипы для компонентов платформы операционной системы и приложений. Они могут обновляться путем применения двоичного патча к соответствующему файлу образа диска.
Содержимое пространств cryptex автоматически запускается после загрузки ядра. Измерения пространств cryptex, печати их файловой системы и связанные с ними доверенные кэши представлены в отдельном удостоверении Image4, криптографически привязанном к устройству, на котором оно находится. Когда применяется фоновое улучшение безопасности, устройство отправляет запрос в службу доверенной подписи Apple, чтобы получить соответствующий манифест Cryptex1Image4. Существующее загрузочное удостоверение точки доступа не обновляется.
На устройствах с macOS во время фонового улучшения безопасности пользователю может быть предложено применить содержащиеся в нем изменения к веб‑браузеру Safari путем его завершения и перезапуска. После перезапуска веб‑браузер Safari использует платформу и содержимое библиотеки из новых пространств cryptex. Остальные компоненты операционной системы остаются без изменений и не используют новое содержимое до перезагрузки системы.
Удаление фоновых улучшений безопасности
Фоновые улучшения безопасности можно удалить, если обнаружено их критически важное влияние на систему. Пользователи могут удалить все фоновые улучшения безопасности, примененные к устройству в данный момент. Кроме того, в редком случае, если фоновые улучшения безопасности влияет на совместимость или качество работы ПО, Apple может удалить последнее примененное фоновое улучшение с устройств пользователей с помощью механизма автоматического обновления ПО. Чтобы упростить процесс удаления, в составе фоновых улучшений безопасности на устройство доставляются патч и обратный патч.
Если пользователь удаляет фоновые улучшения безопасности, удаляются все установленные в данный момент фоновые улучшения (все пространства cryptex возвращаются в свое базовое состояние), а системные двоичные файлы, которые были изменены, возвращаются к версии после установки последнего обновления ПО. После того как фоновое улучшение безопасности удалено, пользователю необходимо перезагрузить устройство. Подробнее см. в статье службы поддержки Apple Если необходимо удалить фоновое улучшение безопасности.
Рекомендации по удалению
Если Apple определяет, что фоновое улучшение безопасности способствует потенциальному повышению частоты сбоев приложения, то служба, которую регулярно запрашивает устройство, публикует идентификаторы затронутых приложений. После этого устройства, на которых установлено фоновое улучшение безопасности, с помощью локальной системы определяют, действительно ли частота сбоев затронутых приложений повысилась после установки фонового улучшения. Если пользователь сталкивается с таким сбоем, операционная система сообщает, что к этому могла привести установка фонового улучшения безопасности, и пользователю предлагается удалить все фоновые улучшения и восстановить устройство до состояния после последнего обновления ПО.
Аналитические данные, связанные с рекомендациями по удалению (например, название приложения, запустившего рекомендацию, или факт отображения рекомендации), отправляются в Apple, только если пользователь согласился делиться этой информацией, выбрав указанные ниже параметры.
На iPad: «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения» > «Делиться Аналитикой iPad».
На iPhone: «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения» > «Делиться для iPhone и часов».
На Mac: «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения» > «Делиться Аналитикой Mac».