Google-forskare avslöjar brister i Safari som kan utnyttjas för att spåra användare

0 Shares

Safari-ikonen

Apples Safari-webbläsare visade sig ha flera säkerhetsfel som gjorde det möjligt att spåra användarens onlineaktivitet, säger Google-forskare.

I ett ännu inte publicerat dokument avslöjar forskarna problem i en Safari-funktion som faktiskt ska öka användarnas integritet. Intelligent Tracking Prevention (ITP) -funktionen som finns i iOS-, iPadOS- och macOS-versionen av webbläsaren är avsedd att blockera spårning, men sårbarheter innebär att tredje part kunde ha tillgång till känslig information om användarnas surfvanor.

Se även:

I tidningen, som ses av Financial Times, identifierade forskare från Googles molnteam inte mindre än fem potentiella attacker som kan utnyttja sårbarheterna och samla in “känslig privat information om användarens surfvanor”.

Detaljer om säkerhetsfel avslöjades för Apple i augusti förra året, och företaget lappade tyst sårbarheterna i december.

Financial Times förklarar (betalvägg):

Enligt Google-forskarna lämnade sårbarheterna personuppgifter exponerade “eftersom ITP-listan implicit lagrar information om de webbplatser som användaren besökt”.

Forskarna identifierade också en brist som gjorde det möjligt för hackare att “skapa ett ihållande fingeravtryck som kommer att följa användaren runt på nätet”, medan andra kunde avslöja vad enskilda användare sökte efter på sökmotorsidor.

I ett lite publicerat blogginlägg tackade Apple Google för sin hjälp och sa: “Vi vill tacka Google för att vi skickade en rapport där de utforskar både förmågan att upptäcka när webbinnehåll behandlas annorlunda genom spårningsförebyggande och dåliga saker som är möjliga med sådan upptäckt. Deras ansvarsfulla utlämnande tillät oss att utforma och testa ändringarna som beskrivs ovan. Full kredit ges i kommande säkerhetsmeddelanden “.

Ironin med en integritetsskyddsfunktion som har sårbarhet noterades av oberoende säkerhetsforskning Lukasz Olejnik. Han säger:

Du förväntar dig inte integritetshöjande tekniker för att införa integritetsrisker. Om de utnyttjas eller används, skulle de tillåta okontrollerad och okontrollerbar användarspårning. Även om sådana integritetsproblem idag är mycket sällsynta är problem i mekanismer som är avsedda att förbättra integriteten oväntade och mycket kontraintuitiva.

Olejnik tillade att sättet ITP lagrar data gjorde det sårbart: “ITP kör sina algoritmer på enheten, vilket gör det möjligt att upptäcka beteende och” lära sig “om dem automatiskt. Men den här användarspecifika aspekten är också delvis anledningen till risken för information läckor var möjliga “.

Bildkredit: DANIEL CONSTANTE / Shutterstock

0 Shares