Google avertizeaza Safari pentru defecte de confidentialitate

Cercetatorii Google au expus detalii despre mai multe defecte de securitate in browserul sau rival Apple Safari, care a permis urmarirea comportamentului de navigare al utilizatorilor, in ciuda faptului ca instrumentul afectat a fost conceput special pentru a-si proteja confidentialitatea.

Defectele, care au fost gasite ironic intr-o caracteristica anti-urmarire cunoscuta sub numele de Intelligent Tracking Prevention, au fost dezvaluite pentru prima data de Google catre Apple in august anul trecut.

Intr-o publicatie curand publicata de Financial Times, cercetatorii din echipa cloud a Google au identificat de atunci cinci tipuri diferite de atac potential care ar fi putut rezulta din vulnerabilitati, permitand tertilor sa obtina „informatii private sensibile despre navigarea utilizatorului. obiceiuri“.

„Nu v-ati astepta ca tehnologiile care imbunatatesc confidentialitatea sa introduca riscuri de confidentialitate”, a spus Lukasz Olejnik, un cercetator independent de securitate care a vazut lucrarea. „Daca sunt exploatate sau utilizate, [aceste vulnerabilitati] ar permite urmarirea utilizatorilor nesanctionata si necontrolata.

„Desi astazi aceste vulnerabilitati de confidentialitate sunt foarte rare, problemele legate de mecanismele concepute pentru a imbunatati confidentialitatea sunt neasteptate si extrem de contra-intuitive.”

Apple a lansat Prevenirea inteligenta a urmaririi in 2017, cu scopul specific de a proteja utilizatorii browserului Safari de a fi urmariti pe web de cookie-urile de publicitate si alte terte parti.

Adeptii vietii private considera instrumentul ca o tehnologie de pionierat pentru imbunatatirea confidentialitatii pentru browserele web si a obligat concurentii inclusiv browserul Chrome Google sa isi mareasca propriile controale de urmarire.

„Spre deosebire de alte abordari. . . ITP isi executa algoritmii pe dispozitiv, ceea ce il face sa poata detecta comportamentul [utilizatorului] si sa „invete” despre el in mod automat ”, a spus Olejnik. „Dar acest aspect specific utilizatorului este, de asemenea, partial de ce a fost posibil riscul de scurgeri de informatii.”

Potrivit cercetatorilor Google, vulnerabilitatile au lasat expuse datele personale „deoarece lista ITP stocheaza implicit informatii despre site-urile web vizitate de utilizator”.

Cercetatorii au identificat, de asemenea, un defect care le-a permis hackerilor sa „creeze o amprenta persistenta care sa rumareasca utilizatorul pe web”, in timp ce altii au putut dezvalui ceea ce utilizatorii individuali cautau pe paginile motorului de cautare.

Apple a abordat defectele de securitate, fara sa dezvaluie detalii, in decembrie, cand inginerul de confidentialitate John Wilander a publicat o postare pe blog despre actualizari de securitate la software-ul browserului sau. In postare, el a multumit cercetatorilor Google „ca ne-au trimis un raport in care exploreaza atat capacitatea de a detecta cand continutul web este tratat diferit prin urmarirea prevenirii, cat si lucrurile rele care sunt posibile cu o astfel de detectare. Practica lor de divulgare responsabila ne-a permis sa proiectam si sa testam modificarile detaliate mai sus”, a adaugat el.

Apple nu a confirmat imediat daca au fost solutionate defectele de securitate din Safari.

Aceasta este a doua oara in ultimul an, cand cercetatorii Google au dezvaluit defecte de securitate in software-ul Apple. In luna august 2019, compania de cautare a numit printr-o lucrare, de asemenea, o serie de site-uri web care livrau atacuri vizate iPhone-urilor detinute de minoritatea uigura din China. Google a confirmat ca a autorizat publicarea lucrarii si a spus ca Apple si-a recunoscut ajutorul in identificarea acestor probleme anul trecut.