Uživatelé Safari a iOS: Vaše aktivita při procházení uniká v reálném čase

Getty Images

Za poslední čtyři měsíce porušila zařízení Apple se systémem iOS, iPadOS a prohlížečem Safari jednu z nejposvátnějších zásad zabezpečení internetu. Porušení je způsobeno chybou, která způsobuje únik identity uživatelů a procházení v reálném čase.

a Stejná politika původu Jde o základní bezpečnostní mechanismus, který brání dokumentům, skriptům nebo jinému obsahu načtenému z jednoho zdroje – protokolu, názvu domény a portu konkrétní webové stránky nebo aplikace – v interakci se zdroji z jiných aktiv. Bez těchto zásad by škodlivé weby – například badguy.example.com – mohly získat přístup k přihlašovacím údajům Google nebo jiného důvěryhodného webu, když jsou otevřeny v jiném okně nebo kartě prohlížeče.

Jasné porušení soukromí

Od uvedení Safari 15, iOS a iPadOS 15 v září byla tato zásada široce porušena, Výzkum zveřejněný koncem minulého týdne našel. tak jako demo web Graficky odhalující, je triviální, aby jeden web zjistil domény webů otevřených na jiných kartách nebo oknech, stejně jako ID uživatelů a další identifikační informace spojené s jinými weby.

„Skutečnost, že názvy databází unikají napříč různými aktivy, je jasným porušením soukromí,“ napsal Martin Pajanik, softwarový inženýr ve FingerprintJS, startupu, který vyrábí rozhraní pro identifikaci zařízení pro účely boje proti podvodům. Dokončil:

Umožňuje libovolným webům vědět, které weby uživatel na různých kartách nebo oknech navštěvuje. To je možné, protože názvy databází jsou obvykle jedinečné a specifické pro web. Dále jsme si všimli, že v některých případech webové stránky používají ve svých databázích jedinečné identifikátory specifické pro uživatele. To znamená, že ověřené uživatele lze jednoznačně a přesně identifikovat.

Útoky fungují na počítačích Mac se Safari 15 a na jakémkoli prohlížeči se systémem iOS nebo iPadOS 15. Jak je vidět v ukázce, safarileaks.com je schopen detekovat přítomnost více než 20 webových stránek – Kalendář Google, YouTube, Twitter a Bloomberg – Otevřít v jiné karty nebo okna. S více práce útočník v reálném světě pravděpodobně najde stovky nebo tisíce webů nebo webových stránek, které by mohl objevit.

READ  Zprávy Google zobrazují reakce iMessage jako emotikony

Když se uživatelé přihlásí na některou z těchto stránek, zranitelnost by mohla být zneužita k detekci návštěv a v mnoha případech k identifikaci informací v reálném čase. Když se například přihlásíte k účtu Google otevřenému jinde, testovací web může získat interní identifikátor, který Google používá k identifikaci každého účtu. Tyto identifikátory lze obvykle použít k identifikaci majitele účtu.

zvýšit povědomí

Únik je výsledkem metody používané jádrem prohlížeče Webkit k implementaci IndexedDB, programovacího rozhraní podporovaného všemi hlavními prohlížeči. Obsahuje velké množství dat a funguje tak, že při návštěvě nového webu vytváří databáze. Karty nebo okna běžící na pozadí mohou neustále dotazovat API IndexedDB na dostupné databáze. To webové stránce umožňuje v reálném čase zjistit, jaké další webové stránky uživatel navštěvuje.

Webové stránky mohou také otevřít jakýkoli web v prvku iframe nebo vyskakovacím okně, aby spustily únik na základě indexované databáze pro tento konkrétní web. Zahrnutím prvku iframe nebo vyskakovacího okna do kódu HTML může web otevřít jiný web a způsobit únik dokumentu do indexované databáze webu.

„Pokaždé, když web interaguje s databází, vytvoří se nová (prázdná) databáze se stejným názvem ve všech ostatních aktivních oknech, kartách a oknech ve stejné relaci prohlížeče,“ napsal Pajanik. „Okna a karty obvykle sdílejí stejnou relaci, pokud nepřepnete na jiný profil, například v prohlížeči Chrome, nebo neotevřete soukromé okno.“

Jak indexovaná databáze Safari 15 uniká z vaší aktivity prohlížení (v reálném čase).

Pajanik řekl, že Apple o zranitelnosti informoval koncem listopadu a do doby tisku nebyla opravena v Safari ani v mobilních operačních systémech společnosti. Zástupci Applu nereagovali na e-mail s dotazem, zda nebo kdy vydají opravu. Od pondělí inženýři Applu začlenili a označili potenciální opravy Pajanicova zpráva Také se to vyřešilo. Koncoví uživatelé však nebudou chráněni, dokud nebude oprava Webkit integrována do Safari 15, iOS a iPadOS 15.

Prozatím by lidé měli být opatrní při používání desktopového Safari nebo jakéhokoli prohlížeče běžícího na iOS nebo iPadOS. To není zvláště užitečné pro uživatele iPhonu nebo iPadu a v mnoha případech to má jen malé nebo žádné důsledky pro únikové aktivity procházení. V jiných případech však mohou mnohé napovědět konkrétní navštívené stránky a pořadí přístupu na ně.

„Jediná skutečná ochrana je aktualizovat váš prohlížeč nebo operační systém, jakmile Apple problém vyřeší,“ napsal Pajanic. „Doufáme, že tento článek mezitím zvýší povědomí o tomto problému.“

You May Also Like

About the Author: Danielle Brown

"Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista."

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *