вполне вариант: по IP определяем город, а если доступна инфа о MAC-адресе и имени точки, можно уже точнее определить координаты (а если IP и мак точки указывают на совершенно разные точки земного шара, то юзер сидит за VPN)

открытая база имен сетей и маков точек есть у Moziila, например
https://location.services.mozilla.com/
у гугла и эппла тоже есть, про MS не в курсе

Не пойму, почему всех зацикливает на "геолокация == гпс"? Геолокация это ещё стопицот способов, помимо гпс. И очевидно, что при выключенной геолокации определять местоположения через айпи, вайфай или что-то ещё - ну, как бы плохо.
Т.е. переключалка геолока должна управлять сразу всеми способами. И следовательно определить таймзону при выключенной очевидно должно быть нельзя, что и сделали.

We’ve updated the “set time zone automatically” toggle in Time & Date settings to now be greyed out if location has been disabled.

Huh?

Ну, оно было, но не было очевидно. Теперь очевидно.

Ну вот сделала она скриншоты, а там же куча разных сервисов. Их надо передать и в автоматическом режиме распознать к какому сервису и учетным данным относится тот или иной код.

Возможно для целевых атак, с подготовительной работой это подходит. Но не совсем понятно как это масштабировать.

Вообще это уже кидали сюда пару недель назад. К сожалению в таких новостях нету даже попытки анализа происходящего, зато есть желтушный заголовок.

могут украстть аккаунт, если загрузить троян на смартфон из "левого" ресурса?

а вы не хотите сойтись на усредненной мысли? Если кто-то основательно загонится, то взломать можно кого угодно, хоть с 2fa хоть (тем более) без. просто, пожалуй, не стоит упрощать жизнь этим потенциальным взломщикам. если они (кулхацкеры) сойдутся на мысли что за время влома 2fa можно НАЙТИ и взломать полтора десятка акков без 2fa так зачем оно тогда надо?

а вы не хотите сойтись на усредненной мысли? Если кто-то основательно загонится, то взломать можно кого угодно, хоть с 2fa хоть (тем более) без. просто, пожалуй, не стоит упрощать жизнь этим потенциальным взломщикам. если они (кулхацкеры) сойдутся на мысли что за время влома 2fa можно НАЙТИ и взломать полтора десятка акков без 2fa так зачем оно тогда надо?