Safari iOS пайдаланушылары үшін қауіпсіз браузер ретінде белгілі болғанымен, Mysk әзірлеушісінің жақында ашқан жаңалығы Safari-де пайдаланушыларды қадағалаудың ықтимал мәселелеріне қатысты алаңдаушылық туғызды. Бұл мақала осалдықтың техникалық мәліметтерін, оның пайдаланушының құпиялылығына әсері және тәуекелдерді азайту үшін ықтимал шешімдерді қарастырады.
Safari-де осалдықты анықтау: iOS құрылғыларын тіпті инкогнито режимінде де бақылаңыз
Дереккөз: Slashgear
URI схемасының осалдығын зерттеу
Осалдық Safari пайдаланатын арнайы URI схемасына қатысты. URI схемалары ресурстарға қол жеткізу жолын анықтайды және бұл жағдайда олар рұқсат етілмеген қолданбалар дүкендерін веб-сайттардан орнатуға мүмкіндік береді. Safari әрекеті абайсызда шабуылдаушыларға пайдаланушыларды қадағалау үшін осы осалдықты пайдалану үшін есікті ашады.
Веб-сайт заңды қолданбалар дүкені болмаса да, Safari әлі де URI схемасын өңдеуге тырысады, бұл шабуылдаушыларға осы осалдық арқылы пайдаланушыларды бақылауға мүмкіндік береді.
Клиент идентификаторындағы және бақылау механизмдеріндегі осалдықтарды анықтау
Mysk демонстрациясы веб-сайттағы қарапайым он жолдық кодтың бұл осалдықты қалай тудыруы мүмкін екенін көрсетеді. Пайдаланушы мұндай сайтқа кірген кезде, Safari жалған қолданбалар дүкенін жүктеп алу әрекетін бастайды, бұл пайдаланушының бірегей клиент идентификаторын көрсетеді.
Жүктеп алу авторизация қатесіне байланысты орындалмаса да, клиент идентификаторын ашу пайдаланушыны веб-сайттар арқылы бақылауға мүмкіндік береді.
«adpURL» және «storeAccountName» сияқты элементтер іске қосылғанда, жағдай одан да қауіпті болады. Егер бұл элементтер үйлесімді болса, олар пайдаланушының желіде қатысуын біріктіре отырып, веб-сайттар арасында тұтынушы идентификаторы ақпаратының алмасуын жеңілдетуі мүмкін.
Инкогнито режимін елемеу: құпиялылық қалқаны бұзылған
Бұл осалдықтың ең алаңдатарлық аспектілерінің бірі - шолу тарихын және пайдаланушыны бақылауды болдырмауға арналған Safari инкогнито режимін айналып өту мүмкіндігі. Инкогнито режиміне қарамастан, бұл осалдық әлі де клиенттің жеке басын ашып, уәде етілген құпиялылықты қорғауды бұзады.
Бұл гео-шектелген осалдық қазіргі уақытта Apple компаниясына балама қолданбалар дүкендерін пайдалануға рұқсат беруі қажет Еуропалық Одақтағы (ЕО) iOS құрылғыларына ғана әсер етеді. Басқа аймақтардағы пайдаланушыларға әлі әсер еткен жоқ.
Географиялық қамту және әсерді азайту стратегиялары
Бұл осалдықтың географиялық шектеуі бар. Ол қазіргі уақытта Еуропалық Одақ (ЕО) аймағындағы iOS құрылғыларына ғана әсер етеді. Бұл Apple компаниясының ЕО-да баламалы қолданбалар дүкендерін пайдалануға рұқсат беруге міндетті екендігіне байланысты, бұл осы аймақ үшін Safari-де арнайы URI схемасын енгізуді талап етеді. Басқа аймақтардағы пайдаланушыларға қазір әсер етпеген.
ЕО пайдаланушылары үшін жеңілдетудің ең оңай стратегиясы - Safari браузерінен басқа браузерді пайдалануды қарастыру. Firefox немесе Chrome сияқты iOS жүйесіне арналған көптеген балама браузерлер бақылауға қарсы тиімдірек тетіктерімен танымал. Бұл шолғыштар осал URI схемасына кіру әрекеттерін бұғаттауы және клиент идентификаторының ашылуына жол бермеуі мүмкін.
Браузерді өзгерту дереу қорғауды қамтамасыз етеді, бірақ бұл осалдық туралы хабардар болуды арттыру және Apple компаниясын бағдарламалық құралды жаңарту арқылы оны түзетуге шақыру бірдей маңызды. Safari әрекетін тек қолданбалар дүкендерінен заңды орнатуларға арналған URI схемасын өңдеу үшін өзгертетін патч бұл осалдықты тиімді түрде жабады.
Жеңілдетуден кейінгі қадамдар: пайдаланушының құпиялылығын қорғау
Бұл осалдықтың табылуы сандық саладағы пайдаланушының жеке өмірі үшін жалғасып жатқан шайқасты көрсетеді. Тіпті инкогнито режимі сияқты қорғаныс құралдарымен осалдықтар қалуы мүмкін.
Пайдаланушылар осы ықтимал осалдықтарды білуі және веб-беттерді шолу кезінде сақтық танытуы керек. Мұнда құпиялылыққа қатысты кейбір қосымша ойлар берілген:
- Сайттарды ақылмен таңдаңыз: Веб-сайттарға, әсіресе күмәнді мазмұны бар сайттарға кірген кезде абай болыңыз. Күдікті сілтемелерді баспаңыз немесе белгісіз көздерден мазмұнды жүктеп алмаңыз.
- Құпиялық кеңейтімдерін пайдалану: Бақылауды қорғауды жақсартатын iOS браузерлері үшін әртүрлі құпиялылық кеңейтімдері қол жетімді. Бұл кеңейтімдер бақылау сценарийлері мен cookie файлдарын блоктау арқылы пайдаланушының құпиялылығын күшейте алады.
- Оқиғалардан хабардар болыңыз: Apple және браузер әзірлеушілері шығарған ең соңғы қауіпсіздік патчтары мен осалдықтарды түзетуге қол жеткізу үшін iOS құрылғыңызды және шолғыштарды жүйелі түрде жаңартыңыз.
Жетілдірілген URI схемасының осалдық талдауы
URI схемасының механикасын түсіну: URI (Бірыңғай ресурс идентификаторы) құрылғыңызға белгілі бір ресурсқа қалай қол жеткізуге болатынын көрсететін мекенжай ретінде қызмет етеді және схема (мысалы, http, https), домен атауы және оған апаратын жол сияқты компоненттерден тұрады. Әлсіз схема веб-сайттардан қолданбалар дүкендерін тікелей орнатуға мүмкіндік береді.
Safari шамадан тыс әрекеті: Осалдық Safari қолданбалар дүкенінің орнату схемасын тіпті заңды емес қолданбалар дүкенінің веб-сайттарында өңдеуге әрекеттенуіне байланысты орын алады. Бұл әрекетті шабуылдаушылар жүктеп алу әрекетін бастау және клиенттің жеке басын ашу үшін пайдалана алады.
Клиент идентификаторын декодтау: Client-ID - әрбір Apple құрылғысына тағайындалған бірегей идентификатор. Ол Apple экожүйесінде заңды мақсатқа қызмет еткенімен, оның осы контекстте ашылуы торапаралық бақылау мүмкіндіктерін ашады.
«adpURL» және «storeAccountName» рөлі: Бұл қосымша веб-сайт мүмкіндіктері, үйлесімді болса, сайттар арасында тұтынушы идентификаторларының алмасуын жеңілдетуі мүмкін. «adpURL» жарнамаға қатысты ақпаратты жібере алады, ал «storeAccountName» арнайы қолданбалар дүкенінің тіркелгісіне сілтеме жасай алады. Тұтынушы идентификаторымен біріктірілген бұл деректер пайдаланушының желіде қатысуының кең профилін жасай алады.
Инкогнито режимін айналып өту туралы түсініктеме: Инкогнито режимі әдетте құпиялылықты қамтамасыз ету үшін шолу журналы мен cookie файлдарын сақтауға жол бермейді. Дегенмен, бұл жағдайда клиенттің идентификаторын ашу қалыпты шолу журналы жасалғанға дейін желі деңгейінде орын алады, осылайша құпиялылықты қорғау үшін жоспарланған инкогнито режимін айналып өтеді.
Нәтижелер
Safari-де бұл осалдықтың табылуы пайдаланушының құпиялылығын қорғау үшін үнемі қырағы болу қажеттілігін көрсетеді. Әсерді азайтудың жолдары бар болса да, ұзақ мерзімді шешім компанияның жойғанына байланысты алма бағдарламалық қамтамасыз етуді жаңарту арқылы осалдық.
Осалдықтың техникалық нюанстарын түсіну және онлайн құпиялылықты қорғауға кешенді көзқарасты қолдану арқылы пайдаланушылар онлайн бақылаумен байланысты тәуекелдерді азайтып, құрылғыларының қауіпсіздігін арттыра алады.
Бұл оқиға әзірлеушілер мен технологиялық компанияларға сенімді қауіпсіздік шараларына мұқият басымдық беру туралы ескерту ретінде қызмет етеді. Пайдаланушылардың, әзірлеушілердің және технологиялық компаниялардың бірлескен күш-жігері қауіпсіз және құпиялылыққа қолайлы цифрлық ландшафтқа үлес қоса алады.
