Bien que Safari soit connu comme un navigateur sûr pour les utilisateurs iOS, une découverte récente du développeur Mysk a soulevé des inquiétudes quant aux problèmes potentiels de suivi des utilisateurs dans Safari. Cet article examine les détails techniques de la vulnérabilité, son impact sur la confidentialité des utilisateurs et les solutions potentielles pour atténuer les risques.
Détection de vulnérabilité dans Safari : suivez les appareils iOS même en mode navigation privée
Source : Slashgear
Étude de vulnérabilité du système URI
La vulnérabilité est liée à un schéma d'URI spécifique utilisé par Safari. Les schémas d'URI définissent la manière dont les ressources sont accessibles et, dans ce cas, ils permettent l'installation de magasins d'applications non autorisés à partir de sites Web. Le comportement de Safari ouvre par inadvertance la porte aux attaquants qui peuvent utiliser cette vulnérabilité pour suivre les utilisateurs.
Même si le site Web n'est pas une boutique d'applications légitime, Safari tente toujours de traiter le schéma d'URI, permettant ainsi aux attaquants de suivre les utilisateurs grâce à cette vulnérabilité.
Identifier les vulnérabilités de l'ID client et des mécanismes de suivi
La démo Mysk montre comment un simple code de dix lignes sur un site Web peut déclencher cette vulnérabilité. Lorsqu'un utilisateur visite un tel site, Safari tente de télécharger la boutique d'applications fictive, révélant l'identifiant client unique de l'utilisateur.
Bien que le téléchargement échoue en raison d'une erreur d'autorisation, la révélation de l'ID client peut permettre de suivre l'utilisateur sur les sites Web.
La situation devient encore plus menaçante lorsque des éléments tels que « adpURL » et « storeAccountName » entrent en jeu. Si ces éléments sont compatibles, ils peuvent potentiellement faciliter l'échange d'informations d'identification client entre sites Web, consolidant ainsi la présence en ligne d'un utilisateur.
Ignorer le mode navigation privée : bouclier de confidentialité brisé
L'un des aspects les plus inquiétants de cette vulnérabilité est la possibilité de contourner le mode navigation privée de Safari, conçu pour empêcher l'historique de navigation et le suivi des utilisateurs. Malgré le mode incognito, cette vulnérabilité peut toujours révéler l'identité du client, compromettant ainsi la protection promise de la vie privée.
Cette vulnérabilité géo-restreinte n'affecte actuellement que les appareils iOS dans l'Union européenne (UE), où Apple est tenu d'autoriser l'utilisation de magasins d'applications alternatifs. Les utilisateurs des autres régions n’ont pas encore été affectés.
Couverture géographique et stratégies d’atténuation
Il existe une limite géographique à cette vulnérabilité. Actuellement, cela n’affecte que les appareils iOS de la région de l’Union européenne (UE). Cela est dû au fait qu'Apple est obligé d'autoriser l'utilisation de magasins d'applications alternatifs dans l'UE, ce qui nécessite la mise en œuvre d'un système d'URI spécial dans Safari pour cette région. Les utilisateurs des autres régions ne sont actuellement pas concernés.
La stratégie d’atténuation la plus simple pour les utilisateurs de l’UE consiste à envisager d’utiliser un navigateur autre que Safari. De nombreux navigateurs alternatifs pour iOS, tels que Firefox ou Chrome, sont connus pour disposer de mécanismes anti-pistage plus efficaces. Ces navigateurs peuvent bloquer les tentatives d'accès au schéma d'URI vulnérable et empêcher la divulgation de l'ID client.
Si le changement de navigateur offre une protection immédiate, il est tout aussi important de sensibiliser à cette vulnérabilité et d'encourager Apple à la corriger avec une mise à jour logicielle. Un correctif qui modifierait le comportement de Safari pour gérer uniquement le schéma d'URI pour les installations légitimes à partir des magasins d'applications permettrait de supprimer efficacement cette vulnérabilité.
Étapes au-delà de l’atténuation : protéger la confidentialité des utilisateurs
La découverte de cette vulnérabilité met en lumière la bataille en cours pour la confidentialité des utilisateurs dans le domaine numérique. Même avec des mesures de protection telles que le mode navigation privée, des vulnérabilités peuvent persister.
Les utilisateurs doivent être conscients de ces vulnérabilités potentielles et faire preuve de prudence lorsqu’ils parcourent des pages Web. Voici quelques considérations supplémentaires en matière de confidentialité :
- Choisissez judicieusement les sites : Soyez prudent lorsque vous visitez des sites Web, en particulier ceux dont le contenu est douteux. Ne cliquez pas sur des liens suspects et ne téléchargez pas de contenu provenant de sources inconnues.
- Utilisation des extensions de confidentialité : Diverses extensions de confidentialité sont disponibles pour les navigateurs iOS qui améliorent la protection contre le suivi. Ces extensions peuvent renforcer la confidentialité des utilisateurs en bloquant les scripts de suivi et les cookies.
- Restez informé des événements : Mettez régulièrement à jour votre appareil iOS et vos navigateurs pour accéder aux derniers correctifs de sécurité et correctifs de vulnérabilité publiés par Apple et les développeurs de navigateurs.
Analyse avancée des vulnérabilités du schéma URI
Comprendre les mécanismes du schéma URI : Un URI (Uniform Resource Identifier) sert d'adresse qui indique à votre appareil comment accéder à une ressource particulière et se compose de composants tels qu'un schéma (par exemple http, https), un nom de domaine et un chemin d'accès à celui-ci. Le schéma vulnérable permet l’installation directe de magasins d’applications à partir de sites Web.
Comportement trop zélé de Safari : La vulnérabilité est due au fait que Safari tente de traiter le schéma d'installation de l'App Store, même sur les sites Web non légitimes de l'App Store. Ce comportement peut être utilisé par des attaquants pour lancer une tentative de téléchargement et révéler l'identité du client.
Décodage de l'ID client : Client-ID est un identifiant unique attribué à chaque appareil Apple. Bien qu'elle réponde à un objectif légitime dans l'écosystème d'Apple, sa divulgation dans ce contexte ouvre des opportunités de suivi intersites.
Rôle de « adpURL » et « storeAccountName » : Ces fonctionnalités supplémentaires du site Web, si elles sont compatibles, peuvent faciliter l'échange d'identifiants clients entre les sites. « adpURL » peut transmettre des informations liées à la publicité, tandis que « storeAccountName » peut faire référence à un compte de magasin d'applications spécifique. Combinées à un identifiant client, ces données peuvent créer un large profil de la présence en ligne d'un utilisateur.
Explication sur le contournement du mode navigation privée : Le mode navigation privée empêche généralement l'enregistrement de l'historique de navigation et des cookies pour garantir la confidentialité. Cependant, dans ce cas, la divulgation de l'identifiant du client a lieu au niveau du réseau avant la création de l'historique de navigation normal, contournant ainsi le mode incognito prévu pour protéger la confidentialité.
Résultats
La découverte de cette vulnérabilité dans Safari souligne la nécessité d'une vigilance constante pour protéger la vie privée des utilisateurs. Bien qu'il existe des moyens d'atténuer les effets, la solution à long terme dépend de la question de savoir si l'entreprise élimine Apple vulnérabilité via une mise à jour logicielle.
En comprenant les nuances techniques de la vulnérabilité et en adoptant une approche globale de la protection de la vie privée en ligne, les utilisateurs peuvent réduire les risques associés au suivi en ligne et augmenter la sécurité de leurs appareils.
Cet incident rappelle aux développeurs et aux entreprises technologiques de prioriser soigneusement les mesures de sécurité robustes. Les efforts collaboratifs des utilisateurs, des développeurs et des entreprises technologiques peuvent contribuer à un paysage numérique plus sécurisé et plus respectueux de la vie privée.
