Nors „Safari“ žinoma kaip saugi „iOS“ naudotojų naršyklė, naujausias kūrėjo „Mysk“ atradimas sukėlė susirūpinimą dėl galimų „Safari“ naudotojų stebėjimo problemų. Šiame straipsnyje nagrinėjama techninė pažeidžiamumo detalė, jo poveikis vartotojų privatumui ir galimi rizikos mažinimo sprendimai.
Pažeidžiamumo aptikimas „Safari“: stebėkite „iOS“ įrenginius net inkognito režimu
Šaltinis: Slashgear
URI schemos pažeidžiamumo tyrimas
Pažeidžiamumas yra susijęs su konkrečia URI schema, naudojama „Safari“. URI schemos apibrėžia, kaip pasiekiami ištekliai, ir šiuo atveju jos leidžia iš svetainių įdiegti neteisėtas programų parduotuves. Safari elgesys netyčia atveria duris užpuolikams naudoti šį pažeidžiamumą naudotojams sekti.
Net jei svetainė nėra teisėta programų parduotuvė, „Safari“ vis tiek bando apdoroti URI schemą, todėl užpuolikai gali sekti vartotojus per šį pažeidžiamumą.
Kliento ID ir sekimo mechanizmų pažeidžiamumų nustatymas
„Mysk“ demonstracinė versija parodo, kaip paprastas dešimties eilučių kodas svetainėje gali sukelti šį pažeidžiamumą. Kai vartotojas apsilanko tokioje svetainėje, „Safari“ bando atsisiųsti fiktyvią programų parduotuvę, atskleisdama unikalų vartotojo kliento ID.
Nors atsisiuntimas nepavyksta dėl prieigos teisės klaidos, kliento ID atskleidimas gali leisti vartotoją stebėti įvairiose svetainėse.
Situacija tampa dar grėsmingesnė, kai pradeda veikti tokie elementai kaip „adpURL“ ir „storeAccountName“. Jei šie elementai yra suderinami, jie gali palengvinti keitimąsi klientų ID informacija tarp svetainių ir sustiprinti vartotojo buvimą internete.
Inkognito režimo ignoravimas: sugadintas privatumo skydas
Vienas iš labiausiai nerimą keliančių šio pažeidžiamumo aspektų yra galimybė apeiti „Safari“ inkognito režimą, kuris yra skirtas užkirsti kelią naršymo istorijai ir vartotojų sekimui. Nepaisant inkognito režimo, šis pažeidžiamumas vis tiek gali atskleisti kliento tapatybę ir pakenkti žadėtai privatumo apsaugai.
Šis geografiškai ribotas pažeidžiamumas šiuo metu veikia tik „iOS“ įrenginius Europos Sąjungoje (ES), kur „Apple“ privalo leisti naudotis alternatyviomis programėlių parduotuvėmis. Kitų regionų naudotojai dar nebuvo paveikti.
Geografinė aprėptis ir švelninimo strategijos
Šis pažeidžiamumas turi geografinį apribojimą. Šiuo metu ji veikia tik „iOS“ įrenginius Europos Sąjungos (ES) regione. Taip yra dėl to, kad Apple yra įpareigota leisti naudoti alternatyvias programų parduotuves ES, o tam reikia įdiegti specialią URI schemą Safari šiame regione. Kitų regionų naudotojai šiuo metu nėra paveikti.
ES naudotojams lengviausia mažinimo strategija yra apsvarstyti galimybę naudoti kitą naršyklę nei „Safari“. Daugelis alternatyvių „iOS“ naršyklių, pvz., „Firefox“ ar „Chrome“, turi veiksmingesnius stebėjimo mechanizmus. Šios naršyklės gali blokuoti bandymus pasiekti pažeidžiamą URI schemą ir neleisti atskleisti kliento ID.
Nors naršyklės pakeitimas suteikia tiesioginę apsaugą, taip pat svarbu informuoti apie šį pažeidžiamumą ir paskatinti „Apple“ ją ištaisyti atnaujinant programinę įrangą. Pataisa, kuri pakeistų „Safari“ elgseną ir apdorotų tik URI schemą teisėtiems diegimams iš programų parduotuvių, veiksmingai pašalintų šį pažeidžiamumą.
Žingsniai, ne tik sumažinami: vartotojų privatumo apsauga
Šio pažeidžiamumo atradimas išryškina besitęsiančią kovą dėl vartotojų privatumo skaitmeninėje srityje. Net ir naudojant tokias apsaugos priemones kaip inkognito režimas, pažeidžiamumų gali likti.
Vartotojai turėtų žinoti apie šiuos galimus pažeidžiamumus ir būti atsargiems naršydami tinklalapius. Štai keletas papildomų privatumo aspektų:
- Išmintingai rinkitės svetaines: Būkite atsargūs lankydamiesi svetainėse, ypač tose, kurių turinys yra abejotinas. Nespauskite įtartinų nuorodų ir neatsisiųskite turinio iš nežinomų šaltinių.
- Privatumo plėtinių naudojimas: Galimi įvairūs privatumo plėtiniai iOS naršyklėms, kurie pagerina stebėjimo apsaugą. Šie plėtiniai gali sustiprinti vartotojų privatumą blokuodami stebėjimo scenarijus ir slapukus.
- Sekite naujienas apie įvykius: Reguliariai atnaujinkite savo iOS įrenginį ir naršykles, kad pasiektumėte naujausias saugos pataisas ir pažeidžiamumo pataisas, kurias išleido Apple ir naršyklių kūrėjai.
Išplėstinė URI schemos pažeidžiamumo analizė
Suprasti URI schemos mechaniką: URI (Uniform Resource Identifier) yra adresas, nurodantis jūsų įrenginiui, kaip pasiekti tam tikrą šaltinį, ir susideda iš tokių komponentų kaip schema (pvz., http, https), domeno pavadinimas ir kelias į jį. Pažeidžiama schema leidžia tiesiogiai įdiegti programų parduotuves iš svetainių.
Perdėtas „Safari“ elgesys: Pažeidžiamumas atsiranda dėl to, kad „Safari“ bando apdoroti programų parduotuvės diegimo schemą net ir neteisėtose programų parduotuvių svetainėse. Tokiu elgesiu užpuolikai gali pradėti bandyti atsisiųsti ir atskleisti kliento tapatybę.
Kliento ID iššifravimas: Kliento ID yra unikalus identifikatorius, priskirtas kiekvienam Apple įrenginiui. Nors „Apple“ ekosistemoje ji atlieka teisėtą tikslą, jos atskleidimas šiame kontekste atveria galimybes stebėti keliose svetainėse.
„adpURL“ ir „storeAccountName“ vaidmuo: Šios papildomos svetainės funkcijos, jei jos yra suderinamos, gali palengvinti keitimąsi klientų ID tarp svetainių. „adpURL“ gali perduoti informaciją, susijusią su reklamavimu, o „storeAccountName“ gali reikšti konkrečią programų parduotuvės paskyrą. Kartu su kliento ID, šie duomenys gali sukurti platų vartotojo buvimo internete profilį.
Paaiškinimas apie inkognito režimo apėjimą: Inkognito režimas paprastai neleidžia išsaugoti naršymo istorijos ir slapukų, kad būtų užtikrintas privatumas. Tačiau tokiu atveju kliento ID atskleidžiamas tinklo lygiu prieš sukuriant įprastą naršymo istoriją, taip apeinant numatytą inkognito režimą, siekiant apsaugoti privatumą.
Rezultatai
Šio „Safari“ pažeidžiamumo atradimas išryškina nuolatinio budrumo poreikį siekiant apsaugoti vartotojų privatumą. Nors yra būdų, kaip sušvelninti poveikį, ilgalaikis sprendimas priklauso nuo to, ar įmonė pašalins Apple pažeidžiamumas dėl programinės įrangos atnaujinimo.
Suprasdami techninius pažeidžiamumo niuansus ir laikydamiesi visapusiško požiūrio į privatumo apsaugą internete, vartotojai gali sumažinti su internetiniu stebėjimu susijusią riziką ir padidinti savo įrenginių saugumą.
Šis incidentas yra priminimas kūrėjams ir technologijų įmonėms, kad reikia atidžiai nustatyti tvirtų saugos priemonių prioritetus. Bendros vartotojų, kūrėjų ir technologijų įmonių pastangos gali prisidėti prie saugesnės ir privatumui palankesnės skaitmeninės aplinkos.
