Компания Apple уделяет особое внимание защите конфиденциальности своих продуктов. Но, оказалось, что функция, предназначенная для защиты вашей конфиденциальности при использовании браузера Safari, создает некоторые уязвимости.
На днях группа инженеров по безопасности Google раскрыла ряд недостатков в Safari, которые позволили бы потенциальным хакерам просматривать историю поиска. Также веб-сайты могли бы отслеживать ваше поведение в Сети.
Apple отказалась от комментариев, но сказала, что исправит недостатки, обнаруженные Google.
В заявлении Google говорится:
Мы давно работаем с компаниями по всей отрасли для обмена информацией о потенциальных уязвимостях и защиты наших соответствующих пользователей. Наша основная исследовательская группа по безопасности работала в тесном сотрудничестве с Apple по этому вопросу. Технический документ просто объясняет, что обнаружили наши исследователи, чтобы другие могли извлечь выгоду из их результатов.
Уязвимости были вызваны функцией Safari Intelligent Tracking Prevention (ITP), которую Apple впервые представила в 2017 году. Этот инструмент был разработан для защиты пользователей Safari от сторонних сайтов.
ITP регистрирует сайты как «распространенные домены», когда замечает, что они отправляют данные, позволяющие рекламодателям идентифицировать пользователя.
Такая регистрация, по сути, создала возможность для потенциальных злоумышленников получить подробное представление об истории веб-сайтов пользователя.
Веб-сайт мог бы проверить, есть ли конкретные доменные имена в списке ITP, который полезен для отслеживания людей, и мог бы манипулировать списком. Исследователи Google считают, что эти ошибки могли привести к утечке информации.
Это не первый случай, когда попытка защитить частную жизнь потерпела неудачу. В 2019 году Safari удалил функцию под названием «Не отслеживать». Потому что она позволила сайтам лучше отслеживать людей, создавая их «отпечатки пальцев».
Напомним, что в прошлом Google раскрывал серьезные уязвимости безопасности, связанные с Apple, в том числе ряд уязвимостей в устройствах iOS, которые использовались для нападения на уйгурских мусульман в Китае.