Az igazság a Safari adatvédelemmel kapcsolatban: Nyomon követés még inkognitó módban is

Szerző Olvasásra 5 perc Közzétett

Míg a Safari az iOS-felhasználók biztonságos böngészőjeként ismert, a Mysk fejlesztő nemrégiben végzett felfedezése aggodalmakat vetett fel a Safari felhasználói nyomon követési problémáival kapcsolatban. Ez a cikk megvizsgálja a biztonsági rés technikai részleteit, a felhasználói adatvédelemre gyakorolt ​​hatását, valamint a kockázatok csökkentésére szolgáló lehetséges megoldásokat.

Sebezhetőség észlelése a Safariban: Kövesse nyomon az iOS-eszközöket még inkognitó módban is

iPhone Safari

Forrás: Slashgear

URI-séma sebezhetőségi tanulmánya

A biztonsági rés a Safari által használt meghatározott URI-sémához kapcsolódik. Az URI-sémák meghatározzák az erőforrásokhoz való hozzáférés módját, és ebben az esetben lehetővé teszik a jogosulatlan alkalmazásboltok webhelyekről történő telepítését. A Safari viselkedése akaratlanul is megnyitja az ajtót a támadók előtt, hogy ezt a biztonsági rést a felhasználók követésére használják.

Még ha a webhely nem is egy legitim alkalmazásbolt, a Safari továbbra is megpróbálja feldolgozni az URI-sémát, lehetővé téve a támadók számára, hogy nyomon kövessék a felhasználókat ezen a biztonsági résen keresztül.

Az ügyfél-azonosító és a nyomkövetési mechanizmusok sebezhetőségeinek azonosítása

A Mysk bemutató bemutatja, hogyan válthatja ki ezt a biztonsági rést egy egyszerű tízsoros kód egy webhelyen. Amikor egy felhasználó felkeres egy ilyen webhelyet, a Safari kísérletet tesz a fiktív alkalmazásbolt letöltésére, felfedve a felhasználó egyedi ügyfél-azonosítóját.

Bár a letöltés engedélyezési hiba miatt meghiúsul, az ügyfél-azonosító felfedése lehetővé teszi a felhasználó követését a webhelyeken.

A helyzet még fenyegetőbbé válik, amikor olyan elemek lépnek életbe, mint az „adpURL” és a „storeAccountName”. Ha ezek az elemek kompatibilisek, akkor potenciálisan megkönnyíthetik az ügyfél-azonosító információk webhelyek közötti cseréjét, megszilárdítva a felhasználó online jelenlétét.

Az inkognitómód figyelmen kívül hagyása: megszakadt az adatvédelmi pajzs

A sérülékenység egyik legaggasztóbb aspektusa a Safari inkognitómódjának megkerülése, amely megakadályozza a böngészési előzményeket és a felhasználók követését. Az inkognitó mód ellenére ez a biztonsági rés továbbra is felfedheti az ügyfél személyazonosságát, aláásva a megígért adatvédelmet.

Ez a földrajzilag korlátozott biztonsági rés jelenleg csak az iOS-eszközöket érinti az Európai Unióban (EU), ahol az Apple-nek engedélyeznie kell az alternatív alkalmazásboltok használatát. A többi régióban élő felhasználókat ez még nem érinti.

Földrajzi lefedettség és enyhítési stratégiák

Ennek a sebezhetőségnek földrajzi korlátai vannak. Jelenleg csak az Európai Unió (EU) régiójában található iOS-eszközöket érinti. Ennek oka az a tény, hogy az Apple köteles engedélyezni az alternatív alkalmazásboltok használatát az EU-ban, amihez speciális URI-séma bevezetése szükséges a Safariban erre a régióra. A többi régióban lévő felhasználókat ez jelenleg nem érinti.

Az EU-felhasználók számára a legegyszerűbb csökkentési stratégia az, ha a Safaritól eltérő böngészőt használnak. Számos alternatív iOS-böngésző, például a Firefox vagy a Chrome, ismert arról, hogy hatékonyabb nyomkövetési mechanizmusokkal rendelkeznek. Ezek a böngészők blokkolhatják a sebezhető URI-sémához való hozzáférési kísérleteket, és megakadályozhatják az ügyfél-azonosító felfedését.

Bár a böngésző módosítása azonnali védelmet biztosít, ugyanolyan fontos, hogy felhívja a figyelmet erre a sebezhetőségre, és arra ösztönözze az Apple-t, hogy szoftverfrissítéssel javítsa ki. Egy javítás, amely megváltoztatná a Safari viselkedését, és csak az alkalmazásboltokból származó legitim telepítések URI-sémáját kezelné, hatékonyan bezárná ezt a biztonsági rést.

Lépések a mérséklésen túl: A felhasználók adatainak védelme

A sérülékenység felfedezése rávilágít a felhasználók adatvédelméért folyó küzdelemre a digitális szférában. Még az olyan biztonsági intézkedések mellett is, mint az inkognitómód, megmaradhatnak a sebezhetőségek.

A felhasználóknak tisztában kell lenniük ezekkel a lehetséges sérülékenységekkel, és óvatosnak kell lenniük a weboldalak böngészése során. Íme néhány további adatvédelmi szempont:

  • Válasszon okosan webhelyeket: Legyen óvatos, amikor webhelyeket látogat, különösen a megkérdőjelezhető tartalmú webhelyeket. Ne kattintson a gyanús linkekre, és ne töltsön le tartalmat ismeretlen forrásból.
  • Adatvédelmi bővítmények használata: Különféle adatvédelmi bővítmények állnak rendelkezésre az iOS böngészőkhöz, amelyek javítják a követés védelmét. Ezek a bővítmények erősíthetik a felhasználók adatvédelmét a nyomkövetési szkriptek és cookie-k blokkolásával.
  • Legyen naprakész az eseményekről: Rendszeresen frissítse iOS-eszközét és böngészőit, hogy hozzáférjen az Apple és a böngészőfejlesztők által kiadott legújabb biztonsági javításokhoz és sebezhetőségi javításokhoz.

Safari

Speciális URI-séma sebezhetőségi elemzése

  • Az URI-séma mechanikájának megértése: Az URI (Uniform Resource Identifier) ​​olyan címként szolgál, amely megmondja az eszköznek, hogyan férhet hozzá egy adott erőforráshoz, és olyan összetevőkből áll, mint a séma (pl. http, https), egy domain név és egy elérési út. A sebezhető rendszer lehetővé teszi az alkalmazásboltok közvetlen telepítését webhelyekről.

  • Safari túlbuzgó viselkedése: A sérülékenység abból adódik, hogy a Safari megpróbálja feldolgozni az alkalmazásbolt telepítési sémáját még a nem legális alkalmazásbolt-webhelyeken is. Ezzel a viselkedéssel a támadók letöltési kísérletet kezdeményezhetnek, és felfedhetik az ügyfél személyazonosságát.

  • Kliens-azonosító dekódolás: A Client-ID egy egyedi azonosító, amely minden Apple-eszközhöz van hozzárendelve. Bár törvényes célt szolgál az Apple ökoszisztémájában, közzététele ebben az összefüggésben lehetőségeket nyit a helyek közötti nyomon követésre.

  • Az „adpURL” és a „storeAccountName” szerepe: Ezek a további webhelyfunkciók, ha kompatibilisek, megkönnyíthetik az ügyfél-azonosítók webhelyek közötti cseréjét. Az „adpURL” hirdetéssel kapcsolatos információkat adhat át, míg a „storeAccountName” egy adott alkalmazásbolt-fiókra utalhat. Az ügyfél-azonosítóval kombinálva ezek az adatok széles körű profilt hozhatnak létre a felhasználó online jelenlétéről.

  • Magyarázat az inkognitómód megkerülésével kapcsolatban: Az inkognitó mód általában megakadályozza a böngészési előzmények és a cookie-k mentését az adatvédelem érdekében. Ebben az esetben azonban a kliens azonosítójának nyilvánosságra hozatala a normál böngészési előzmények létrehozása előtt hálózati szinten történik, így a személyes adatok védelme érdekében megkerüli a tervezett inkognitómódot.

Eredmények

A Safari biztonsági résének felfedezése rávilágít arra, hogy a felhasználók adatainak védelme érdekében állandó éberségre van szükség. Bár vannak módok a hatások mérséklésére, a hosszú távú megoldás attól függ, hogy a vállalat megszünteti-e Apple sérülékenységet egy szoftverfrissítés révén.

A sérülékenység technikai árnyalatainak megértésével és az online adatvédelem átfogó megközelítésével a felhasználók csökkenthetik az online nyomon követéssel kapcsolatos kockázatokat és növelhetik eszközeik biztonságát.

Ez az incidens emlékeztetőül szolgál a fejlesztők és technológiai vállalatok számára, hogy gondosan rangsorolják a robusztus biztonsági intézkedéseket. A felhasználók, a fejlesztők és a technológiai vállalatok együttműködési erőfeszítései hozzájárulhatnak egy biztonságosabb és adatvédelembarátabb digitális környezet kialakításához.

Mi a reakciód?
Hűvös
1
Hűvös
Boldog
0
Boldog
Rázás
0
Rázás
Érdekes
0
Érdekes
Szomorú
0
Szomorú
Dühös
0
Dühös
Olvassa el a Gizchinát a Google Hírekben

Tetszett a cikk? Köszönet a szerkesztőknek!

forrás
Apple Safari követés sebezhetőség Kiberbiztonság titoktartás hírek
Oszd meg a barátaiddal
Danylo ZUB
Értékeld a szerzőt
(Még nincs értékelés)
GizChina.Com.Ua
Ez az oldal cookie-kat használ az adatok tárolására. Az oldal használatának folytatásával Ön beleegyezik, hogy ezekkel a fájlokkal dolgozzon.