Pravda o súkromí Safari: Sledovanie aj v režime inkognito

Autor Na čítanie 5 min Publikovaný

Zatiaľ čo Safari je známy ako bezpečný prehliadač pre používateľov iOS, nedávny objav vývojára Myska vyvolal obavy z možných problémov so sledovaním používateľov v Safari. Tento článok skúma technické podrobnosti o zraniteľnosti, jej vplyv na súkromie používateľov a potenciálne riešenia na zmiernenie rizík.

Detekcia zraniteľnosti v Safari: Sledujte zariadenia iOS aj v režime inkognito

iPhone Safari

Zdroj: Slashgear

URI Scheme Vulnerability Study

Zraniteľnosť súvisí so špecifickou schémou URI, ktorú používa Safari. Schémy URI definujú spôsob prístupu k zdrojom a v tomto prípade umožňujú inštaláciu neoprávnených obchodov s aplikáciami z webových stránok. Správanie Safari neúmyselne otvára dvere útočníkom na využitie tejto zraniteľnosti na sledovanie používateľov.

Aj keď web nie je legitímnym obchodom s aplikáciami, Safari sa stále pokúša spracovať schému URI, čo útočníkom umožňuje sledovať používateľov prostredníctvom tejto zraniteľnosti.

Identifikácia slabých miest v ID klienta a mechanizmoch sledovania

Mysk demo ukazuje, ako môže jednoduchý desaťriadkový kód na webovej stránke spustiť túto zraniteľnosť. Keď používateľ navštívi takúto stránku, Safari iniciuje pokus o stiahnutie fiktívneho obchodu s aplikáciami a odhalí používateľovi jedinečné ID klienta.

Hoci sťahovanie zlyhá v dôsledku chyby autorizácie, odhalenie ID klienta môže umožniť sledovanie používateľa na rôznych webových stránkach.

Situácia sa stáva ešte hrozivejšou, keď do hry vstúpia prvky ako „adpURL“ a „storeAccountName“. Ak sú tieto prvky kompatibilné, môžu potenciálne uľahčiť výmenu informácií o ID zákazníka medzi webovými stránkami, čím sa upevní online prítomnosť používateľa.

Ignorovanie režimu inkognito: Poškodený štít na ochranu osobných údajov

Jedným z najviac znepokojujúcich aspektov tejto zraniteľnosti je schopnosť obísť režim inkognito Safari, ktorý je navrhnutý tak, aby zabránil histórii prehliadania a sledovaniu používateľov. Napriek režimu inkognito môže táto zraniteľnosť stále odhaliť identitu zákazníka, čo podkopáva sľubovanú ochranu súkromia.

Táto geograficky obmedzená zraniteľnosť sa v súčasnosti týka iba zariadení so systémom iOS v Európskej únii (EÚ), kde je spoločnosť Apple povinná povoliť používanie alternatívnych obchodov s aplikáciami. Používateľov v iných regiónoch sa to zatiaľ nedotklo.

Geografické pokrytie a stratégie zmierňovania

Táto chyba zabezpečenia má geografické obmedzenie. V súčasnosti sa týka iba zariadení so systémom iOS v regióne Európskej únie (EÚ). Dôvodom je skutočnosť, že Apple je povinný povoliť používanie alternatívnych obchodov s aplikáciami v EÚ, čo si vyžaduje implementáciu špeciálnej schémy URI v Safari pre tento región. Používatelia v iných regiónoch nie sú momentálne ovplyvnení.

Najjednoduchšou stratégiou pre používateľov z EÚ je zvážiť použitie iného prehliadača ako Safari. Mnohé alternatívne prehliadače pre iOS, ako napríklad Firefox alebo Chrome, sú známe tým, že majú účinnejšie mechanizmy proti sledovaniu. Tieto prehliadače môžu blokovať pokusy o prístup k zraniteľnej schéme URI a zabrániť odhaleniu ID klienta.

Aj keď zmena prehliadača poskytuje okamžitú ochranu, je rovnako dôležité zvýšiť povedomie o tejto zraniteľnosti a povzbudiť spoločnosť Apple, aby ju opravila aktualizáciou softvéru. Oprava, ktorá by zmenila správanie prehliadača Safari tak, aby spracovávala iba schému URI pre legitímne inštalácie z obchodov s aplikáciami, by túto chybu zabezpečenia účinne odstránila.

Kroky nad rámec zmiernenia: Ochrana súkromia používateľov

Objav tejto zraniteľnosti poukazuje na prebiehajúci boj o súkromie používateľov v digitálnej sfére. Dokonca aj so zabezpečením, ako je režim inkognito, môžu zostať zraniteľné miesta.

Používatelia by si mali byť vedomí týchto potenciálnych zraniteľností a mali by byť opatrní pri prehliadaní webových stránok. Tu je niekoľko ďalších úvah o ochrane osobných údajov:

  • Stránky vyberajte múdro: Buďte opatrní pri návšteve webových stránok, najmä tých s pochybným obsahom. Neklikajte na podozrivé odkazy ani nesťahujte obsah z neznámych zdrojov.
  • Používanie rozšírení ochrany osobných údajov: Pre prehliadače iOS sú k dispozícii rôzne rozšírenia ochrany osobných údajov, ktoré zlepšujú ochranu sledovania. Tieto rozšírenia môžu posilniť súkromie používateľov blokovaním sledovacích skriptov a súborov cookie.
  • Buďte informovaní o udalostiach: Pravidelne aktualizujte svoje iOS zariadenie a prehliadače, aby ste mali prístup k najnovším bezpečnostným záplatám a opravám zraniteľnosti, ktoré vydali Apple a vývojári prehliadačov.

safari

Pokročilá analýza zraniteľnosti schémy URI

  • Pochopenie mechaniky schémy URI: Identifikátor URI (Uniform Resource Identifier) ​​slúži ako adresa, ktorá hovorí vášmu zariadeniu, ako získať prístup ku konkrétnemu zdroju, a pozostáva z komponentov, ako je schéma (napr. http, https), názov domény a cesta k nemu. Schéma zraniteľnosti umožňuje priamu inštaláciu obchodov s aplikáciami z webových stránok.

  • Príliš horlivé správanie Safari: K tejto chybe zabezpečenia dochádza v dôsledku pokusu Safari spracovať schému inštalácie obchodu s aplikáciami aj na nelegitímnych webových stránkach obchodu s aplikáciami. Toto správanie môžu útočníci použiť na spustenie pokusu o stiahnutie a odhalenie identity klienta.

  • Dešifrovanie ID klienta: Client-ID je jedinečný identifikátor priradený ku každému zariadeniu Apple. Aj keď slúži legitímnemu účelu v ekosystéme spoločnosti Apple, jeho zverejnenie v tomto kontexte otvára príležitosti na sledovanie medzi stránkami.

  • Úloha „adpURL“ a „storeAccountName“: Tieto dodatočné funkcie webových stránok, ak sú kompatibilné, môžu uľahčiť výmenu ID zákazníkov medzi stránkami. „adpURL“ môže odovzdávať informácie súvisiace s reklamou, zatiaľ čo „storeAccountName“ môže odkazovať na konkrétny účet obchodu s aplikáciami. V kombinácii s ID zákazníka môžu tieto údaje vytvoriť široký profil online prítomnosti používateľa.

  • Vysvetlenie o obídení režimu inkognito: Režim inkognito zvyčajne zabraňuje ukladaniu histórie prehliadania a súborov cookie, aby sa zabezpečilo súkromie. V tomto prípade však k odhaleniu ID klienta dôjde na úrovni siete pred vytvorením normálnej histórie prehliadania, čím sa obíde zamýšľaný režim inkognito na ochranu súkromia.

Výsledky

Objav tejto zraniteľnosti v prehliadači Safari zdôrazňuje potrebu neustálej ostražitosti na ochranu súkromia používateľov. Aj keď existujú spôsoby na zmiernenie účinkov, dlhodobé riešenie závisí od toho, či spoločnosť eliminuje jablko zraniteľnosť prostredníctvom aktualizácie softvéru.

Porozumením technickým nuansám tejto zraniteľnosti a komplexným prístupom k ochrane súkromia online môžu používatelia znížiť riziká spojené s online sledovaním a zvýšiť bezpečnosť svojich zariadení.

Tento incident slúži ako pripomienka pre vývojárov a technologické spoločnosti, aby starostlivo uprednostňovali robustné bezpečnostné opatrenia. Spoločné úsilie používateľov, vývojárov a technologických spoločností môže prispieť k bezpečnejšiemu a dôvernejšiemu digitálnemu prostrediu.

Aká je tvoja reakcia?
chladný
1
chladný
Šťastný
0
Šťastný
trasenie
0
trasenie
zaujímavý
0
zaujímavý
Smutný
0
Smutný
Nahnevaný
0
Nahnevaný
Prečítajte si Gizchinu v službe Google News

Páčil sa vám článok? Ďakujeme redakcii!

Dzherelo
jablko safari sledovanie zraniteľnosť Kybernetická bezpečnosť dôvernosti správy
Zdielať s priateľmi
Danylo ZUB
Ohodnoťte autora
(Zatiaľ nie sú žiadne hodnotenia)
GizChina.Com.Ua
Táto stránka používa na ukladanie údajov súbory cookie. Pokračovaním v používaní stránky dávate súhlas na prácu s týmito súbormi.