Pravda o soukromí Safari: Sledování i v režimu inkognito

Autor Na čtení 5 min Publikováno

Zatímco Safari je známé jako bezpečný prohlížeč pro uživatele iOS, nedávný objev vývojáře Mysk vyvolal obavy z potenciálních problémů se sledováním uživatelů v Safari. Tento článek zkoumá technické podrobnosti zranitelnosti, její dopad na soukromí uživatelů a potenciální řešení ke zmírnění rizik.

Detekce zranitelnosti v Safari: Sledujte zařízení iOS i v anonymním režimu

iPhone Safari

Zdroj: Slashgear

Studie zranitelnosti schématu URI

Tato chyba zabezpečení souvisí se specifickým schématem URI, které používá Safari. Schémata URI definují, jak se přistupuje ke zdrojům, a v tomto případě umožňují instalaci neautorizovaných obchodů s aplikacemi z webových stránek. Chování Safari nechtěně otevírá dveře útočníkům k využití této zranitelnosti ke sledování uživatelů.

I když web není legitimním obchodem s aplikacemi, Safari se stále pokouší zpracovat schéma URI, což útočníkům umožňuje sledovat uživatele prostřednictvím této chyby zabezpečení.

Identifikace zranitelných míst v ID klienta a mechanismech sledování

Mysk demo ukazuje, jak může jednoduchý desetiřádkový kód na webu spustit tuto chybu zabezpečení. Když uživatel navštíví takový web, Safari zahájí pokus o stažení fiktivního obchodu s aplikacemi a odhalí jedinečné ID klienta uživatele.

Přestože se stahování nezdaří kvůli chybě autorizace, odhalení ID klienta může umožnit sledování uživatele na různých webech.

Situace se stává ještě hrozivější, když do hry vstoupí prvky jako „adpURL“ a „storeAccountName“. Pokud jsou tyto prvky kompatibilní, mohou potenciálně usnadnit výměnu informací o zákaznických ID mezi webovými stránkami a konsolidovat tak online přítomnost uživatele.

Ignorování anonymního režimu: Poškozený štít na ochranu soukromí

Jedním z nejvíce znepokojujících aspektů této chyby zabezpečení je schopnost obejít anonymní režim Safari, který je navržen tak, aby zabránil historii procházení a sledování uživatelů. Navzdory režimu inkognito může tato zranitelnost stále odhalit identitu zákazníka, což podkopává slibovanou ochranu soukromí.

Tato geograficky omezená zranitelnost se aktuálně týká pouze zařízení se systémem iOS v Evropské unii (EU), kde je společnost Apple povinna povolit používání alternativních obchodů s aplikacemi. Uživatelů v ostatních regionech se to zatím nedotklo.

Geografické pokrytí a zmírňující strategie

Tato chyba zabezpečení má geografické omezení. V současnosti se týká pouze zařízení iOS v regionu Evropské unie (EU). Důvodem je skutečnost, že Apple je povinen povolit používání alternativních obchodů s aplikacemi v EU, což vyžaduje implementaci speciálního schématu URI v Safari pro tento region. Na uživatele v jiných regionech se to momentálně netýká.

Nejjednodušší strategií zmírňování pro uživatele z EU je zvážit použití jiného prohlížeče než Safari. Mnoho alternativních prohlížečů pro iOS, jako je Firefox nebo Chrome, je známo tím, že má účinnější mechanismy proti sledování. Tyto prohlížeče mohou blokovat pokusy o přístup k zranitelnému schématu URI a bránit prozrazení ID klienta.

I když změna prohlížeče poskytuje okamžitou ochranu, je stejně důležité zvýšit povědomí o této zranitelnosti a povzbudit společnost Apple, aby ji opravila aktualizací softwaru. Oprava, která by změnila chování Safari tak, aby zpracovávala pouze schéma URI pro legitimní instalace z obchodů s aplikacemi, by tuto zranitelnost účinně odstranila.

Kroky nad rámec zmírnění: Ochrana soukromí uživatelů

Objev této zranitelnosti zdůrazňuje pokračující boj o soukromí uživatelů v digitální sféře. I se zabezpečením, jako je anonymní režim, mohou zranitelnosti zůstat.

Uživatelé by si měli být vědomi těchto potenciálních zranitelností a být opatrní při procházení webových stránek. Zde jsou některé další aspekty ochrany osobních údajů:

  • Vybírejte stránky moudře: Buďte opatrní při návštěvě webových stránek, zejména těch s pochybným obsahem. Neklikejte na podezřelé odkazy ani nestahujte obsah z neznámých zdrojů.
  • Použití rozšíření ochrany osobních údajů: Pro prohlížeče iOS jsou k dispozici různá rozšíření ochrany osobních údajů, která zlepšují ochranu sledování. Tato rozšíření mohou posílit soukromí uživatelů blokováním sledovacích skriptů a souborů cookie.
  • Buďte informováni o událostech: Pravidelně aktualizujte své iOS zařízení a prohlížeče, abyste měli přístup k nejnovějším bezpečnostním záplatám a opravám zranitelnosti, které vydal Apple a vývojáři prohlížečů.

Safari

Pokročilá analýza zranitelnosti schématu URI

  • Pochopení mechaniky schématu URI: URI (Uniform Resource Identifier) ​​slouží jako adresa, která říká vašemu zařízení, jak přistupovat ke konkrétnímu zdroji, a skládá se z komponent, jako je schéma (např. http, https), název domény a cesta k němu. Zranitelné schéma umožňuje přímou instalaci obchodů s aplikacemi z webových stránek.

  • Příliš horlivé chování Safari: K této chybě zabezpečení dochází v důsledku pokusu Safari zpracovat instalační schéma obchodu s aplikacemi i na nelegitimních webech obchodu s aplikacemi. Toto chování mohou útočníci využít k zahájení pokusu o stažení a odhalení identity klienta.

  • Dešifrování Client-ID: Client-ID je jedinečný identifikátor přiřazený každému zařízení Apple. I když to v ekosystému Applu slouží legitimnímu účelu, jeho zveřejnění v tomto kontextu otevírá příležitosti pro sledování napříč weby.

  • Role „adpURL“ a „storeAccountName“: Tyto dodatečné funkce webových stránek, jsou-li kompatibilní, mohou usnadnit výměnu ID zákazníků mezi stránkami. „adpURL“ může předávat informace související s reklamou, zatímco „storeAccountName“ může odkazovat na konkrétní účet obchodu s aplikacemi. V kombinaci s ID zákazníka mohou tato data vytvořit široký profil online přítomnosti uživatele.

  • Vysvětlení k obcházení anonymního režimu: Anonymní režim obvykle zabraňuje ukládání historie procházení a souborů cookie, aby bylo zajištěno soukromí. V tomto případě však k odhalení ID klienta dochází na úrovni sítě před vytvořením běžné historie procházení, čímž se obchází zamýšlený režim inkognito z důvodu ochrany soukromí.

Výsledek

Objev této zranitelnosti v Safari zdůrazňuje potřebu neustálé ostražitosti za účelem ochrany soukromí uživatelů. I když existují způsoby, jak dopady zmírnit, dlouhodobé řešení závisí na tom, zda společnost eliminuje jablko zranitelnost prostřednictvím aktualizace softwaru.

Pochopením technických nuancí zranitelnosti a komplexním přístupem k ochraně soukromí online mohou uživatelé snížit rizika spojená s online sledováním a zvýšit bezpečnost svých zařízení.

Tento incident slouží jako připomínka vývojářům a technologickým společnostem, aby pečlivě upřednostňovali robustní bezpečnostní opatření. Společné úsilí uživatelů, vývojářů a technologických společností může přispět k bezpečnějšímu digitálnímu prostředí, které je šetrnější k soukromí.

Jaká je vaše reakce?
Chladný
1
Chladný
Šťastný
0
Šťastný
třesení
0
třesení
Zajímavý
0
Zajímavý
Smutný
0
Smutný
Rozzlobený
0
Rozzlobený
Přečtěte si Gizchina ve Zprávách Google

Líbil se vám článek? Děkujeme redakci!

Dzherelo
jablko Safari sledování zranitelnost Kybernetická bezpečnost důvěrnosti zprávy
Sdílet s přáteli
Danylo ZUB
Ohodnoťte autora
(Zatím nejsou žádná hodnocení)
GizChina.Com.Ua
Tato stránka používá k ukládání dat soubory cookie. Pokračováním v používání webu dáváte souhlas k práci s těmito soubory.