Lai gan Safari ir pazÄ«stams kÄ droÅ”a pÄrlÅ«kprogramma iOS lietotÄjiem, izstrÄdÄtÄja Mysk nesenais atklÄjums ir radÄ«jis bažas par iespÄjamÄm lietotÄju izsekoÅ”anas problÄmÄm programmÄ Safari. Å ajÄ rakstÄ ir apskatÄ«ta ievainojamÄ«bas tehniskÄ informÄcija, tÄs ietekme uz lietotÄju privÄtumu un iespÄjamie risinÄjumi risku mazinÄÅ”anai.
IevainojamÄ«bas noteikÅ”ana pÄrlÅ«kprogrammÄ Safari: izsekojiet iOS ierÄ«ces pat inkognito režīmÄ
Avots: Slashgear
URI shÄmas ievainojamÄ«bas pÄtÄ«jums
IevainojamÄ«ba ir saistÄ«ta ar konkrÄtu URI shÄmu, ko izmanto Safari. URI shÄmas nosaka, kÄ tiek piekļūts resursiem, un Å”ajÄ gadÄ«jumÄ tÄs ļauj no vietnÄm instalÄt nesankcionÄtus lietotÅu veikalus. Safari uzvedÄ«ba netÄ«Å”Äm paver durvis uzbrucÄjiem izmantot Å”o ievainojamÄ«bu lietotÄju izsekoÅ”anai.
Pat ja vietne nav likumÄ«gs lietotÅu veikals, Safari joprojÄm mÄÄ£ina apstrÄdÄt URI shÄmu, ļaujot uzbrucÄjiem izsekot lietotÄjus, izmantojot Å”o ievainojamÄ«bu.
Klienta ID un izsekoÅ”anas mehÄnismu ievainojamÄ«bu identificÄÅ”ana
Mysk demonstrÄcija parÄda, kÄ vienkÄrÅ”s desmit rindiÅu kods vietnÄ var izraisÄ«t Å”o ievainojamÄ«bu. Kad lietotÄjs apmeklÄ Å”Ädu vietni, Safari sÄk mÄÄ£inÄjumu lejupielÄdÄt fiktÄ«vo lietotÅu veikalu, atklÄjot lietotÄja unikÄlo klienta ID.
Lai gan lejupielÄde neizdodas autorizÄcijas kļūdas dÄļ, klienta ID atklÄÅ”ana var ļaut lietotÄjam izsekot visÄs vietnÄs.
SituÄcija kļūst vÄl bÄ«stamÄka, kad tiek izmantoti tÄdi elementi kÄ āadpURLā un āstoreAccountNameā. Ja Å”ie elementi ir saderÄ«gi, tie potenciÄli var atvieglot klienta ID informÄcijas apmaiÅu starp vietnÄm, nostiprinot lietotÄja klÄtbÅ«tni tieÅ”saistÄ.
Inkognito režīma ignorÄÅ”ana: salauzts privÄtuma vairogs
Viens no satraucoÅ”Äkajiem Ŕīs ievainojamÄ«bas aspektiem ir iespÄja apiet Safari inkognito režīmu, kas ir paredzÄts, lai novÄrstu pÄrlÅ«koÅ”anas vÄsturi un lietotÄju izsekoÅ”anu. Neskatoties uz inkognito režīmu, Ŕī ievainojamÄ«ba joprojÄm var atklÄt klienta identitÄti, graujot solÄ«to privÄtuma aizsardzÄ«bu.
Å Ä« Ä£eogrÄfiski ierobežotÄ ievainojamÄ«ba paÅ”laik skar tikai iOS ierÄ«ces Eiropas SavienÄ«bÄ (ES), kur Apple ir jÄatļauj izmantot alternatÄ«vus lietotÅu veikalus. LietotÄji citos reÄ£ionos vÄl nav ietekmÄti.
Ä¢eogrÄfiskais pÄrklÄjums un seku mazinÄÅ”anas stratÄÄ£ijas
Å ai ievainojamÄ«bai ir Ä£eogrÄfisks ierobežojums. PaÅ”laik tas attiecas tikai uz iOS ierÄ«cÄm Eiropas SavienÄ«bas (ES) reÄ£ionÄ. Tas ir saistÄ«ts ar faktu, ka Apple ir pienÄkums atļaut izmantot alternatÄ«vus aplikÄciju veikalus ES, kas prasa Å”im reÄ£ionam Safari ieviest Ä«paÅ”u URI shÄmu. LietotÄji citos reÄ£ionos paÅ”laik nav ietekmÄti.
VienkÄrÅ”ÄkÄ ietekmes mazinÄÅ”anas stratÄÄ£ija ES lietotÄjiem ir apsvÄrt iespÄju izmantot citu pÄrlÅ«kprogrammu, nevis Safari. Ir zinÄms, ka daudzÄm alternatÄ«vÄm iOS pÄrlÅ«kprogrammÄm, piemÄram, Firefox vai Chrome, ir efektÄ«vÄki pretizsekoÅ”anas mehÄnismi. Å Ä«s pÄrlÅ«kprogrammas var bloÄ·Ät mÄÄ£inÄjumus piekļūt neaizsargÄtajai URI shÄmai un novÄrst klienta ID izpauÅ”anu.
Lai gan pÄrlÅ«kprogrammas maiÅa nodroÅ”ina tÅ«lÄ«tÄju aizsardzÄ«bu, vienlÄ«dz svarÄ«gi ir palielinÄt izpratni par Å”o ievainojamÄ«bu un mudinÄt Apple to novÄrst, izmantojot programmatÅ«ras atjauninÄjumu. PlÄksteris, kas mainÄ«tu Safari darbÄ«bu, lai apstrÄdÄtu tikai URI shÄmu likumÄ«gÄm instalÄcijÄm no lietotÅu veikaliem, efektÄ«vi novÄrstu Å”o ievainojamÄ«bu.
DarbÄ«bas, kas nav saistÄ«tas ar problÄmu mazinÄÅ”anu: lietotÄju privÄtuma aizsardzÄ«ba
Å Ä«s ievainojamÄ«bas atklÄÅ”ana izceļ notiekoÅ”o cÄ«Åu par lietotÄju privÄtumu digitÄlajÄ jomÄ. Pat ar tÄdiem droŔības pasÄkumiem kÄ inkognito režīms var saglabÄties ievainojamÄ«bas.
LietotÄjiem ir jÄapzinÄs Ŕīs iespÄjamÄs ievainojamÄ«bas un jÄievÄro piesardzÄ«ba, pÄrlÅ«kojot tÄ«mekļa lapas. Å eit ir daži papildu konfidencialitÄtes apsvÄrumi:
- Gudri izvÄlieties vietnes: Esiet piesardzÄ«gs, apmeklÄjot vietnes, Ä«paÅ”i tÄs, kuru saturs ir apÅ”aubÄms. NeklikŔķiniet uz aizdomÄ«gÄm saitÄm un nelejupielÄdÄjiet saturu no nezinÄmiem avotiem.
- KonfidencialitÄtes paplaÅ”inÄjumu izmantoÅ”ana: iOS pÄrlÅ«kprogrammÄm ir pieejami dažÄdi privÄtuma paplaÅ”inÄjumi, kas uzlabo izsekoÅ”anas aizsardzÄ«bu. Å ie paplaÅ”inÄjumi var stiprinÄt lietotÄju privÄtumu, bloÄ·Äjot izsekoÅ”anas skriptus un sÄ«kfailus.
- Esiet informÄts par notikumiem: RegulÄri atjauniniet savu iOS ierÄ«ci un pÄrlÅ«kprogrammas, lai piekļūtu jaunÄkajiem droŔības ielÄpiem un ievainojamÄ«bas labojumiem, ko izlaiduÅ”i Apple un pÄrlÅ«kprogrammu izstrÄdÄtÄji.
UzlabotÄ URI shÄmas ievainojamÄ«bas analÄ«ze
Izpratne par URI shÄmas mehÄniku: URI (vienotais resursu identifikators) kalpo kÄ adrese, kas norÄda jÅ«su ierÄ«cei, kÄ piekļūt noteiktam resursam, un sastÄv no tÄdiem komponentiem kÄ shÄma (piemÄram, http, https), domÄna nosaukums un ceļŔ uz to. NeaizsargÄta shÄma ļauj tieÅ”i instalÄt lietotÅu veikalus no vietnÄm.
PÄrmÄrÄ«ga Safari uzvedÄ«ba: IevainojamÄ«ba rodas tÄpÄc, ka Safari mÄÄ£ina apstrÄdÄt lietotÅu veikala instalÄÅ”anas shÄmu pat neleÄ£itÄ«mÄs lietotÅu veikala vietnÄs. Å o darbÄ«bu uzbrucÄji var izmantot, lai sÄktu lejupielÄdes mÄÄ£inÄjumu un atklÄtu klienta identitÄti.
Klienta ID dekodÄÅ”ana: Klienta ID ir unikÄls identifikators, kas pieŔķirts katrai Apple ierÄ«cei. Lai gan Apple ekosistÄmÄ tas kalpo likumÄ«gam mÄrÄ·im, tÄ izpauÅ”ana Å”ajÄ kontekstÄ paver iespÄjas veikt starpvietÅu izsekoÅ”anu.
āadpURLā un āstoreAccountNameā loma: Å Ä«s papildu vietÅu funkcijas, ja tÄs ir saderÄ«gas, var atvieglot klientu ID apmaiÅu starp vietnÄm. āadpURLā var nodot informÄciju, kas saistÄ«ta ar reklamÄÅ”anu, savukÄrt āstoreAccountNameā var attiekties uz konkrÄtu lietotÅu veikala kontu. ApvienojumÄ ar klienta ID Å”ie dati var izveidot plaÅ”u lietotÄja tieÅ”saistes klÄtbÅ«tnes profilu.
Paskaidrojums par inkognito režīma apieÅ”anu: Inkognito režīms parasti neļauj saglabÄt pÄrlÅ«koÅ”anas vÄsturi un sÄ«kfailus, lai nodroÅ”inÄtu privÄtumu. TomÄr Å”ajÄ gadÄ«jumÄ klienta ID izpauÅ”ana notiek tÄ«kla lÄ«menÄ«, pirms tiek izveidota parastÄ pÄrlÅ«koÅ”anas vÄsture, tÄdÄjÄdi apejot paredzÄto inkognito režīmu, lai aizsargÄtu privÄtumu.
RezultÄti
Å Ä«s ievainojamÄ«bas atklÄÅ”ana pÄrlÅ«kprogrammÄ Safari norÄda uz nepiecieÅ”amÄ«bu pÄc pastÄvÄ«gas modrÄ«bas, lai aizsargÄtu lietotÄju privÄtumu. Lai gan ir veidi, kÄ mazinÄt ietekmi, ilgtermiÅa risinÄjums ir atkarÄ«gs no tÄ, vai uzÅÄmums to novÄrÅ” Manzana ievainojamÄ«bu, izmantojot programmatÅ«ras atjauninÄjumu.
Izprotot ievainojamÄ«bas tehniskÄs nianses un izmantojot visaptveroÅ”u pieeju privÄtuma aizsardzÄ«bai tieÅ”saistÄ, lietotÄji var samazinÄt ar tieÅ”saistes izsekoÅ”anu saistÄ«tos riskus un palielinÄt savu ierÄ«Äu droŔību.
Å is incidents kalpo kÄ atgÄdinÄjums izstrÄdÄtÄjiem un tehnoloÄ£iju uzÅÄmumiem rÅ«pÄ«gi noteikt prioritÄti stingriem droŔības pasÄkumiem. LietotÄju, izstrÄdÄtÄju un tehnoloÄ£iju uzÅÄmumu sadarbÄ«bas centieni var veicinÄt droÅ”Äku un privÄtumam draudzÄ«gÄku digitÄlo vidi.