Prawda o prywatności w Safari: śledzenie nawet w trybie incognito

autor Do czytania 5 minuty Opublikowany

Chociaż Safari jest uważane za bezpieczną przeglądarkę dla użytkowników iOS, niedawne odkrycie programisty Mysk wzbudziło obawy dotyczące potencjalnych problemów ze śledzeniem użytkowników w przeglądarce Safari. W tym artykule zbadano szczegóły techniczne luki, jej wpływ na prywatność użytkowników oraz potencjalne rozwiązania ograniczające ryzyko.

Wykrywanie luk w zabezpieczeniach Safari: śledź urządzenia iOS nawet w trybie incognito

iPhone Safari

źródło: SlashGear

Badanie podatności schematu URI

Luka jest powiązana ze specyficznym schematem URI używanym przez przeglądarkę Safari. Schematy URI definiują sposób dostępu do zasobów i w tym przypadku umożliwiają instalowanie nieautoryzowanych sklepów z aplikacjami ze stron internetowych. Zachowanie przeglądarki Safari nieumyślnie otwiera atakującym możliwości wykorzystania tej luki do śledzenia użytkowników.

Nawet jeśli dana witryna nie jest legalnym sklepem z aplikacjami, Safari nadal próbuje przetworzyć schemat URI, umożliwiając atakującym śledzenie użytkowników za pośrednictwem tej luki.

Identyfikacja luk w mechanizmach identyfikacji klienta i śledzenia

Demo Mysk pokazuje, jak prosty dziesięciowierszowy kod na stronie internetowej może wywołać tę lukę. Kiedy użytkownik odwiedza taką witrynę, Safari inicjuje próbę pobrania fikcyjnego sklepu z aplikacjami, ujawniając unikalny identyfikator klienta użytkownika.

Chociaż pobieranie nie powiedzie się z powodu błędu autoryzacji, ujawnienie identyfikatora klienta może umożliwić śledzenie użytkownika w witrynach internetowych.

Sytuacja staje się jeszcze bardziej groźna, gdy w grę wchodzą elementy takie jak „adpURL” i „storeAccountName”. Jeśli te elementy są kompatybilne, mogą potencjalnie ułatwić wymianę informacji o identyfikatorze klienta pomiędzy stronami internetowymi, konsolidując obecność użytkownika w Internecie.

Ignorowanie trybu incognito: uszkodzona Tarcza Prywatności

Jednym z najbardziej niepokojących aspektów tej luki jest możliwość ominięcia trybu incognito przeglądarki Safari, którego zadaniem jest zapobieganie historii przeglądania i śledzeniu użytkowników. Pomimo trybu incognito luka ta może w dalszym ciągu ujawnić tożsamość klienta, podważając obiecaną ochronę prywatności.

Ta luka ograniczona geograficznie dotyczy obecnie wyłącznie urządzeń z systemem iOS w Unii Europejskiej (UE), gdzie Apple ma obowiązek zezwalać na korzystanie z alternatywnych sklepów z aplikacjami. Problem nie dotyczy jeszcze użytkowników w innych regionach.

Zasięg geograficzny i strategie łagodzenia

Ta luka ma ograniczenia geograficzne. Obecnie dotyczy to tylko urządzeń z systemem iOS w regionie Unii Europejskiej (UE). Wynika to z faktu, że Apple ma obowiązek umożliwić korzystanie z alternatywnych sklepów z aplikacjami na terenie UE, co wymaga wdrożenia specjalnego schematu URI w przeglądarce Safari dla tego regionu. Obecnie nie ma to wpływu na użytkowników w innych regionach.

Najłatwiejszą strategią łagodzącą dla użytkowników w UE jest rozważenie użycia przeglądarki innej niż Safari. Wiele alternatywnych przeglądarek dla systemu iOS, takich jak Firefox czy Chrome, znanych jest z bardziej skutecznych mechanizmów zapobiegających śledzeniu. Przeglądarki te mogą blokować próby uzyskania dostępu do podatnego schematu URI i uniemożliwiać ujawnienie identyfikatora klienta.

Chociaż zmiana przeglądarki zapewnia natychmiastową ochronę, równie ważne jest zwiększanie świadomości na temat tej luki i zachęcanie firmy Apple do jej naprawienia za pomocą aktualizacji oprogramowania. Łatka, która zmieniałaby zachowanie przeglądarki Safari tak, aby obsługiwała schemat URI wyłącznie w przypadku legalnych instalacji ze sklepów z aplikacjami, skutecznie wyeliminowałaby tę lukę.

Kroki wykraczające poza środki łagodzące: ochrona prywatności użytkowników

Odkrycie tej luki podkreśla toczącą się walkę o prywatność użytkowników w sferze cyfrowej. Nawet przy zabezpieczeniach takich jak tryb incognito luki w zabezpieczeniach mogą pozostać.

Użytkownicy powinni być świadomi tych potencjalnych luk i zachować ostrożność podczas przeglądania stron internetowych. Oto kilka dodatkowych uwag dotyczących prywatności:

  • Wybieraj strony mądrze: Zachowaj ostrożność podczas odwiedzania stron internetowych, szczególnie tych zawierających wątpliwą treść. Nie klikaj podejrzanych linków ani nie pobieraj treści z nieznanych źródeł.
  • Korzystanie z rozszerzeń prywatności: Dla przeglądarek iOS dostępne są różne rozszerzenia prywatności, które poprawiają ochronę przed śledzeniem. Rozszerzenia te mogą zwiększyć prywatność użytkowników, blokując skrypty śledzące i pliki cookie.
  • Bądź na bieżąco z wydarzeniami: Regularnie aktualizuj swoje urządzenie iOS i przeglądarki, aby uzyskać dostęp do najnowszych poprawek zabezpieczeń i poprawek luk w zabezpieczeniach wydanych przez firmę Apple i twórców przeglądarek.

Safari

Zaawansowana analiza podatności schematu URI

  • Zrozumienie mechaniki schematu URI: URI (Uniform Resource Identifier) ​​służy jako adres, który informuje Twoje urządzenie, jak uzyskać dostęp do określonego zasobu i składa się z takich elementów, jak schemat (np. http, https), nazwa domeny i ścieżka do niego. Luka w zabezpieczeniach umożliwia bezpośrednią instalację sklepów z aplikacjami ze stron internetowych.

  • Nadgorliwe zachowanie podczas Safari: Luka występuje, gdy przeglądarka Safari próbuje przetworzyć schemat instalacji sklepu z aplikacjami nawet na nielegalnych stronach internetowych sklepów z aplikacjami. Takie zachowanie może zostać wykorzystane przez osoby atakujące do zainicjowania próby pobrania i ujawnienia tożsamości klienta.

  • Dekodowanie identyfikatora klienta: Client-ID to unikalny identyfikator przypisany do każdego urządzenia Apple. Chociaż służy to uzasadnionemu celowi w ekosystemie Apple, jego ujawnienie w tym kontekście otwiera możliwości śledzenia w wielu witrynach.

  • Rola „adpURL” i „storeAccountName”: Te dodatkowe funkcje witryny internetowej, jeśli są kompatybilne, mogą ułatwić wymianę identyfikatorów klientów między witrynami. „adpURL” może przekazywać informacje związane z reklamami, natomiast „storeAccountName” może odnosić się do konkretnego konta w sklepie z aplikacjami. W połączeniu z identyfikatorem klienta dane te mogą stworzyć szeroki profil obecności użytkownika w Internecie.

  • Wyjaśnienie dotyczące ominięcia trybu incognito: Tryb incognito zwykle uniemożliwia zapisywanie historii przeglądania i plików cookie, aby zapewnić prywatność. Jednak w tym przypadku ujawnienie identyfikatora klienta następuje na poziomie sieci, przed utworzeniem normalnej historii przeglądania, z pominięciem zamierzonego trybu incognito w celu ochrony prywatności.

Wyniki

Odkrycie tej luki w przeglądarce Safari uwydatnia potrzebę ciągłej czujności w celu ochrony prywatności użytkowników. O ile istnieją sposoby na złagodzenie skutków, o tyle długoterminowe rozwiązanie zależy od tego, czy firma je wyeliminuje Apple lukę w zabezpieczeniach poprzez aktualizację oprogramowania.

Rozumiejąc techniczne niuanse luki i stosując kompleksowe podejście do ochrony prywatności w Internecie, użytkownicy mogą zmniejszyć ryzyko związane ze śledzeniem w Internecie i zwiększyć bezpieczeństwo swoich urządzeń.

Ten incydent przypomina programistom i firmom technologicznym, aby dokładnie ustalili priorytety solidnych środków bezpieczeństwa. Wspólne wysiłki użytkowników, programistów i firm technologicznych mogą przyczynić się do stworzenia bezpieczniejszego i bardziej przyjaznego prywatności krajobrazu cyfrowego.

Jaka jest Twoja reakcja?
Chłodny
1
Chłodny
Szczęśliwy
0
Szczęśliwy
Shaking
0
Shaking
Ciekawy
0
Ciekawy
Smutny
0
Smutny
Zły
0
Zły
Przeczytaj Gizchinę w Google News

Spodobał Ci się artykuł? Dziękuję redaktorom!

źródło
Apple Safari śledzenie słaby punkt Cyberbezpieczeństwo poufność Aktualności
Podziel się z przyjaciółmi
Danyło ZUB
Oceń autora
(Nie ma jeszcze żadnych ocen)
GizChina.Com.Ua
Ta strona wykorzystuje pliki cookies do przechowywania danych. Kontynuując korzystanie z witryny, wyrażasz zgodę na pracę z tymi plikami.