Sự thật về quyền riêng tư của Safari: Theo dõi ngay cả ở chế độ ẩn danh

Tác giả Để đọc 5 phút Được phát hành

Mặc dù Safari được biết đến như một trình duyệt an toàn cho người dùng iOS nhưng một phát hiện gần đây của nhà phát triển Mysk đã làm dấy lên mối lo ngại về các vấn đề tiềm ẩn về theo dõi người dùng trong Safari. Bài viết này xem xét các chi tiết kỹ thuật của lỗ hổng bảo mật, tác động của nó đến quyền riêng tư của người dùng và các giải pháp tiềm năng để giảm thiểu rủi ro.

Phát hiện lỗ hổng trong Safari: Theo dõi thiết bị iOS ngay cả ở chế độ ẩn danh

iPhone Safari

Nguồn: Slashgear

Nghiên cứu lỗ hổng của Lược đồ URI

Lỗ hổng này liên quan đến sơ đồ URI cụ thể được Safari sử dụng. Lược đồ URI xác định cách truy cập tài nguyên và trong trường hợp này, chúng cho phép cài đặt các cửa hàng ứng dụng trái phép từ các trang web. Hành vi của Safari vô tình tạo cơ hội cho kẻ tấn công lợi dụng lỗ hổng này để theo dõi người dùng.

Ngay cả khi trang web không phải là cửa hàng ứng dụng hợp pháp, Safari vẫn cố gắng xử lý lược đồ URI, cho phép kẻ tấn công theo dõi người dùng thông qua lỗ hổng này.

Xác định các lỗ hổng trong client ID và cơ chế theo dõi

Bản demo Mysk cho thấy một mã mười dòng đơn giản trên trang web có thể kích hoạt lỗ hổng này như thế nào. Khi người dùng truy cập một trang web như vậy, Safari sẽ bắt đầu nỗ lực tải xuống cửa hàng ứng dụng hư cấu, tiết lộ ID khách hàng duy nhất của người dùng.

Mặc dù quá trình tải xuống không thành công do lỗi ủy quyền nhưng việc tiết lộ ID khách hàng có thể cho phép người dùng bị theo dõi trên các trang web.

Tình hình càng trở nên nguy hiểm hơn khi các yếu tố như “adpURL” và “storeAccountName” phát huy tác dụng. Nếu các yếu tố này tương thích, chúng có thể tạo điều kiện thuận lợi cho việc trao đổi thông tin ID khách hàng giữa các trang web, củng cố sự hiện diện trực tuyến của người dùng.

Bỏ qua Chế độ ẩn danh: Lá chắn bảo mật bị hỏng

Một trong những khía cạnh đáng lo ngại nhất của lỗ hổng này là khả năng vượt qua chế độ ẩn danh của Safari, chế độ này được thiết kế để ngăn lịch sử duyệt web và theo dõi người dùng. Bất chấp chế độ ẩn danh, lỗ hổng này vẫn có thể tiết lộ danh tính của khách hàng, làm suy yếu khả năng bảo vệ quyền riêng tư đã hứa.

Lỗ hổng bị giới hạn địa lý này hiện chỉ ảnh hưởng đến các thiết bị iOS ở Liên minh châu Âu (EU), nơi Apple được yêu cầu cho phép sử dụng các cửa hàng ứng dụng thay thế. Người dùng ở các khu vực khác vẫn chưa bị ảnh hưởng.

Chiến lược bao phủ và giảm nhẹ về mặt địa lý

Có một giới hạn về mặt địa lý đối với lỗ hổng này. Hiện tại, nó chỉ ảnh hưởng đến các thiết bị iOS ở khu vực Liên minh Châu Âu (EU). Điều này là do Apple có nghĩa vụ cho phép sử dụng các cửa hàng ứng dụng thay thế ở EU, nơi yêu cầu triển khai sơ đồ URI đặc biệt trong Safari cho khu vực này. Người dùng ở các khu vực khác hiện không bị ảnh hưởng.

Chiến lược giảm nhẹ dễ dàng nhất đối với người dùng EU là cân nhắc sử dụng trình duyệt khác ngoài Safari. Nhiều trình duyệt thay thế cho iOS, chẳng hạn như Firefox hay Chrome, được biết đến là có cơ chế chống theo dõi hiệu quả hơn. Các trình duyệt này có thể chặn các nỗ lực truy cập vào lược đồ URI dễ bị tấn công và ngăn chặn việc tiết lộ ID khách hàng.

Mặc dù việc thay đổi trình duyệt của bạn sẽ mang lại sự bảo vệ ngay lập tức nhưng điều quan trọng không kém là nâng cao nhận thức về lỗ hổng này và khuyến khích Apple khắc phục bằng bản cập nhật phần mềm. Một bản vá sẽ thay đổi hành vi của Safari để chỉ xử lý sơ đồ URI cho các lượt cài đặt hợp pháp từ các cửa hàng ứng dụng sẽ đóng lỗ hổng này một cách hiệu quả.

Các bước ngoài giảm thiểu: Bảo vệ quyền riêng tư của người dùng

Việc phát hiện ra lỗ hổng này làm nổi bật cuộc chiến giành quyền riêng tư của người dùng đang diễn ra trong lĩnh vực kỹ thuật số. Ngay cả với các biện pháp bảo vệ như chế độ ẩn danh, các lỗ hổng vẫn có thể tồn tại.

Người dùng nên biết về những lỗ hổng tiềm ẩn này và thận trọng khi duyệt các trang web. Dưới đây là một số cân nhắc bổ sung về quyền riêng tư:

  • Chọn trang web một cách khôn ngoan: Hãy cẩn thận khi truy cập các trang web, đặc biệt là những trang có nội dung nghi vấn. Không nhấp vào các liên kết đáng ngờ hoặc tải xuống nội dung từ các nguồn không xác định.
  • Sử dụng tiện ích mở rộng quyền riêng tư: Nhiều tiện ích mở rộng quyền riêng tư khác nhau có sẵn cho trình duyệt iOS nhằm cải thiện khả năng bảo vệ theo dõi. Các tiện ích mở rộng này có thể tăng cường quyền riêng tư của người dùng bằng cách chặn tập lệnh và cookie theo dõi.
  • Luôn cập nhật với các sự kiện: Cập nhật thiết bị iOS và trình duyệt của bạn thường xuyên để truy cập các bản vá bảo mật và bản sửa lỗi bảo mật mới nhất do Apple và các nhà phát triển trình duyệt phát hành.

Safari

Phân tích lỗ hổng lược đồ URI nâng cao

  • Hiểu cơ chế của lược đồ URI: URI (Mã định danh tài nguyên đồng nhất) ​​đóng vai trò là một địa chỉ cho thiết bị của bạn biết cách truy cập một tài nguyên cụ thể và bao gồm các thành phần như lược đồ (ví dụ: http, https), tên miền và đường dẫn đến tài nguyên đó. Lược đồ dễ bị tổn thương cho phép cài đặt trực tiếp các cửa hàng ứng dụng từ các trang web.

  • Hành vi quá nhiệt tình của Safari: Lỗ hổng xảy ra do Safari cố gắng xử lý sơ đồ cài đặt cửa hàng ứng dụng ngay cả trên các trang web cửa hàng ứng dụng không hợp pháp. Hành vi này có thể được những kẻ tấn công sử dụng để bắt đầu nỗ lực tải xuống và tiết lộ danh tính của khách hàng.

  • Giải mã ID khách hàng: Client-ID là mã định danh duy nhất được gán cho mỗi thiết bị Apple. Mặc dù nó phục vụ mục đích hợp pháp trong hệ sinh thái của Apple, nhưng việc tiết lộ nó trong bối cảnh này sẽ mở ra cơ hội theo dõi giữa các trang web.

  • Vai trò của “adpURL” và “storeAccountName”: Các tính năng bổ sung của trang web này, nếu tương thích, có thể tạo điều kiện thuận lợi cho việc trao đổi ID khách hàng giữa các trang web. “adpURL” có thể chuyển thông tin liên quan đến quảng cáo, trong khi “storeAccountName” có thể đề cập đến một tài khoản cửa hàng ứng dụng cụ thể. Kết hợp với ID khách hàng, dữ liệu này có thể tạo ra hồ sơ tổng quát về sự hiện diện trực tuyến của người dùng.

  • Giải thích về việc bỏ qua chế độ ẩn danh: Chế độ ẩn danh thường ngăn việc lưu lịch sử duyệt web và cookie để đảm bảo quyền riêng tư. Tuy nhiên, trong trường hợp này, việc tiết lộ ID của khách hàng xảy ra ở cấp độ mạng trước khi lịch sử duyệt web thông thường được tạo, do đó bỏ qua chế độ ẩn danh dự định để bảo vệ quyền riêng tư.

Kết quả

Việc phát hiện ra lỗ hổng này trong Safari nêu bật sự cần thiết phải thường xuyên cảnh giác để bảo vệ quyền riêng tư của người dùng. Mặc dù có nhiều cách để giảm thiểu tác động nhưng giải pháp lâu dài phụ thuộc vào việc công ty có loại bỏ Apple lỗ hổng thông qua bản cập nhật phần mềm.

Bằng cách hiểu rõ các khía cạnh kỹ thuật của lỗ hổng bảo mật và áp dụng cách tiếp cận toàn diện để bảo vệ quyền riêng tư trực tuyến, người dùng có thể giảm thiểu rủi ro liên quan đến việc theo dõi trực tuyến và tăng cường tính bảo mật cho thiết bị của họ.

Sự cố này như một lời nhắc nhở các nhà phát triển và công ty công nghệ hãy ưu tiên cẩn thận các biện pháp bảo mật mạnh mẽ. Những nỗ lực hợp tác của người dùng, nhà phát triển và công ty công nghệ có thể góp phần tạo nên một bối cảnh kỹ thuật số an toàn và thân thiện với quyền riêng tư hơn.

Phản ứng của bạn là gì?
Mát mẻ
1
Mát mẻ
Hạnh phúc
0
Hạnh phúc
Lắc
0
Lắc
Thú vị
0
Thú vị
Sad
0
Sad
Angry
0
Angry
Đọc Gizchina trên Google Tin tức

Bạn có thích bài viết này? Cảm ơn các biên tập viên!

Dzherelo
Apple Safari theo dõi tính dễ bị tổn thương An ninh mạng bảo mật Tin tức
Chia sẻ với bạn bè
Danylo ZUB
Đánh giá tác giả
(Chưa có đánh giá nào)
GizChina.Com.Ua
Trang web này sử dụng cookie để lưu trữ dữ liệu. Bằng cách tiếp tục sử dụng trang web, bạn đồng ý làm việc với các tệp này.