Patiesība par Safari privātumu: izsekoŔana pat inkognito režīmā

Autors LasÄ«Å”anai 5 min Publicēts

Lai gan Safari ir pazÄ«stams kā droÅ”a pārlÅ«kprogramma iOS lietotājiem, izstrādātāja Mysk nesenais atklājums ir radÄ«jis bažas par iespējamām lietotāju izsekoÅ”anas problēmām programmā Safari. Å ajā rakstā ir apskatÄ«ta ievainojamÄ«bas tehniskā informācija, tās ietekme uz lietotāju privātumu un iespējamie risinājumi risku mazināŔanai.

Ievainojamības noteikŔana pārlūkprogrammā Safari: izsekojiet iOS ierīces pat inkognito režīmā

iPhone Safari

Avots: Slashgear

URI shēmas ievainojamības pētījums

IevainojamÄ«ba ir saistÄ«ta ar konkrētu URI shēmu, ko izmanto Safari. URI shēmas nosaka, kā tiek piekļūts resursiem, un Å”ajā gadÄ«jumā tās ļauj no vietnēm instalēt nesankcionētus lietotņu veikalus. Safari uzvedÄ«ba netīŔām paver durvis uzbrucējiem izmantot Å”o ievainojamÄ«bu lietotāju izsekoÅ”anai.

Pat ja vietne nav likumÄ«gs lietotņu veikals, Safari joprojām mēģina apstrādāt URI shēmu, ļaujot uzbrucējiem izsekot lietotājus, izmantojot Å”o ievainojamÄ«bu.

Klienta ID un izsekoÅ”anas mehānismu ievainojamÄ«bu identificÄ“Å”ana

Mysk demonstrācija parāda, kā vienkārÅ”s desmit rindiņu kods vietnē var izraisÄ«t Å”o ievainojamÄ«bu. Kad lietotājs apmeklē Ŕādu vietni, Safari sāk mēģinājumu lejupielādēt fiktÄ«vo lietotņu veikalu, atklājot lietotāja unikālo klienta ID.

Lai gan lejupielāde neizdodas autorizācijas kļūdas dēļ, klienta ID atklāŔana var ļaut lietotājam izsekot visās vietnēs.

Situācija kļūst vēl bÄ«stamāka, kad tiek izmantoti tādi elementi kā ā€œadpURLā€ un ā€œstoreAccountNameā€. Ja Å”ie elementi ir saderÄ«gi, tie potenciāli var atvieglot klienta ID informācijas apmaiņu starp vietnēm, nostiprinot lietotāja klātbÅ«tni tieÅ”saistē.

Inkognito režīma ignorÄ“Å”ana: salauzts privātuma vairogs

Viens no satraucoŔākajiem Ŕīs ievainojamÄ«bas aspektiem ir iespēja apiet Safari inkognito režīmu, kas ir paredzēts, lai novērstu pārlÅ«koÅ”anas vēsturi un lietotāju izsekoÅ”anu. Neskatoties uz inkognito režīmu, Ŕī ievainojamÄ«ba joprojām var atklāt klienta identitāti, graujot solÄ«to privātuma aizsardzÄ«bu.

Å Ä« Ä£eogrāfiski ierobežotā ievainojamÄ«ba paÅ”laik skar tikai iOS ierÄ«ces Eiropas SavienÄ«bā (ES), kur Apple ir jāatļauj izmantot alternatÄ«vus lietotņu veikalus. Lietotāji citos reÄ£ionos vēl nav ietekmēti.

Ä¢eogrāfiskais pārklājums un seku mazināŔanas stratēģijas

Å ai ievainojamÄ«bai ir Ä£eogrāfisks ierobežojums. PaÅ”laik tas attiecas tikai uz iOS ierÄ«cēm Eiropas SavienÄ«bas (ES) reÄ£ionā. Tas ir saistÄ«ts ar faktu, ka Apple ir pienākums atļaut izmantot alternatÄ«vus aplikāciju veikalus ES, kas prasa Å”im reÄ£ionam Safari ieviest Ä«paÅ”u URI shēmu. Lietotāji citos reÄ£ionos paÅ”laik nav ietekmēti.

VienkārŔākā ietekmes mazināŔanas stratēģija ES lietotājiem ir apsvērt iespēju izmantot citu pārlÅ«kprogrammu, nevis Safari. Ir zināms, ka daudzām alternatÄ«vām iOS pārlÅ«kprogrammām, piemēram, Firefox vai Chrome, ir efektÄ«vāki pretizsekoÅ”anas mehānismi. Å Ä«s pārlÅ«kprogrammas var bloķēt mēģinājumus piekļūt neaizsargātajai URI shēmai un novērst klienta ID izpauÅ”anu.

Lai gan pārlÅ«kprogrammas maiņa nodroÅ”ina tÅ«lÄ«tēju aizsardzÄ«bu, vienlÄ«dz svarÄ«gi ir palielināt izpratni par Å”o ievainojamÄ«bu un mudināt Apple to novērst, izmantojot programmatÅ«ras atjauninājumu. Plāksteris, kas mainÄ«tu Safari darbÄ«bu, lai apstrādātu tikai URI shēmu likumÄ«gām instalācijām no lietotņu veikaliem, efektÄ«vi novērstu Å”o ievainojamÄ«bu.

DarbÄ«bas, kas nav saistÄ«tas ar problēmu mazināŔanu: lietotāju privātuma aizsardzÄ«ba

Å Ä«s ievainojamÄ«bas atklāŔana izceļ notiekoÅ”o cīņu par lietotāju privātumu digitālajā jomā. Pat ar tādiem droŔības pasākumiem kā inkognito režīms var saglabāties ievainojamÄ«bas.

Lietotājiem ir jāapzinās Ŕīs iespējamās ievainojamÄ«bas un jāievēro piesardzÄ«ba, pārlÅ«kojot tÄ«mekļa lapas. Å eit ir daži papildu konfidencialitātes apsvērumi:

  • Gudri izvēlieties vietnes: Esiet piesardzÄ«gs, apmeklējot vietnes, Ä«paÅ”i tās, kuru saturs ir apÅ”aubāms. NeklikŔķiniet uz aizdomÄ«gām saitēm un nelejupielādējiet saturu no nezināmiem avotiem.
  • Konfidencialitātes paplaÅ”inājumu izmantoÅ”ana: iOS pārlÅ«kprogrammām ir pieejami dažādi privātuma paplaÅ”inājumi, kas uzlabo izsekoÅ”anas aizsardzÄ«bu. Å ie paplaÅ”inājumi var stiprināt lietotāju privātumu, bloķējot izsekoÅ”anas skriptus un sÄ«kfailus.
  • Esiet informēts par notikumiem: Regulāri atjauniniet savu iOS ierÄ«ci un pārlÅ«kprogrammas, lai piekļūtu jaunākajiem droŔības ielāpiem un ievainojamÄ«bas labojumiem, ko izlaiduÅ”i Apple un pārlÅ«kprogrammu izstrādātāji.

safari

Uzlabotā URI shēmas ievainojamības analīze

  • Izpratne par URI shēmas mehāniku: URI (vienotais resursu identifikators) kalpo kā adrese, kas norāda jÅ«su ierÄ«cei, kā piekļūt noteiktam resursam, un sastāv no tādiem komponentiem kā shēma (piemēram, http, https), domēna nosaukums un ceļŔ uz to. Neaizsargāta shēma ļauj tieÅ”i instalēt lietotņu veikalus no vietnēm.

  • PārmērÄ«ga Safari uzvedÄ«ba: IevainojamÄ«ba rodas tāpēc, ka Safari mēģina apstrādāt lietotņu veikala instalÄ“Å”anas shēmu pat neleÄ£itÄ«mās lietotņu veikala vietnēs. Å o darbÄ«bu uzbrucēji var izmantot, lai sāktu lejupielādes mēģinājumu un atklātu klienta identitāti.

  • Klienta ID dekodÄ“Å”ana: Klienta ID ir unikāls identifikators, kas pieŔķirts katrai Apple ierÄ«cei. Lai gan Apple ekosistēmā tas kalpo likumÄ«gam mērÄ·im, tā izpauÅ”ana Å”ajā kontekstā paver iespējas veikt starpvietņu izsekoÅ”anu.

  • ā€œadpURLā€ un ā€œstoreAccountNameā€ loma: Å Ä«s papildu vietņu funkcijas, ja tās ir saderÄ«gas, var atvieglot klientu ID apmaiņu starp vietnēm. ā€œadpURLā€ var nodot informāciju, kas saistÄ«ta ar reklamÄ“Å”anu, savukārt ā€œstoreAccountNameā€ var attiekties uz konkrētu lietotņu veikala kontu. Apvienojumā ar klienta ID Å”ie dati var izveidot plaÅ”u lietotāja tieÅ”saistes klātbÅ«tnes profilu.

  • Paskaidrojums par inkognito režīma apieÅ”anu: Inkognito režīms parasti neļauj saglabāt pārlÅ«koÅ”anas vēsturi un sÄ«kfailus, lai nodroÅ”inātu privātumu. Tomēr Å”ajā gadÄ«jumā klienta ID izpauÅ”ana notiek tÄ«kla lÄ«menÄ«, pirms tiek izveidota parastā pārlÅ«koÅ”anas vēsture, tādējādi apejot paredzēto inkognito režīmu, lai aizsargātu privātumu.

Rezultāti

Å Ä«s ievainojamÄ«bas atklāŔana pārlÅ«kprogrammā Safari norāda uz nepiecieÅ”amÄ«bu pēc pastāvÄ«gas modrÄ«bas, lai aizsargātu lietotāju privātumu. Lai gan ir veidi, kā mazināt ietekmi, ilgtermiņa risinājums ir atkarÄ«gs no tā, vai uzņēmums to novērÅ” Manzana ievainojamÄ«bu, izmantojot programmatÅ«ras atjauninājumu.

Izprotot ievainojamÄ«bas tehniskās nianses un izmantojot visaptveroÅ”u pieeju privātuma aizsardzÄ«bai tieÅ”saistē, lietotāji var samazināt ar tieÅ”saistes izsekoÅ”anu saistÄ«tos riskus un palielināt savu ierīču droŔību.

Å is incidents kalpo kā atgādinājums izstrādātājiem un tehnoloÄ£iju uzņēmumiem rÅ«pÄ«gi noteikt prioritāti stingriem droŔības pasākumiem. Lietotāju, izstrādātāju un tehnoloÄ£iju uzņēmumu sadarbÄ«bas centieni var veicināt droŔāku un privātumam draudzÄ«gāku digitālo vidi.

Kāda ir tava reakcija?
Vēsie
1
Vēsie
Laimīgs
0
Laimīgs
kratīŔanas
0
kratīŔanas
Interesants
0
Interesants
Bēdīgs
0
Bēdīgs
Dusmīgs
0
Dusmīgs
Lasiet Gizchina pakalpojumā Google ziņas

Vai jums patika raksts? Paldies redakcijai!

Jerelo
Manzana safari izsekoÅ”ana ievainojamÄ«ba KiberdroŔība konfidencialitāte ziņas
Dalīties ar draugiem
Danylo ZUB
Novērtē autoru
(Vērtējumu vēl nav)
GizChina.Com.Ua
Šī vietne izmanto sīkfailus, lai saglabātu datus. Turpinot lietot vietni, jūs piekrītat darbam ar Ŕiem failiem.