Μια ιστοσελίδα απόδειξης της ιδέας αποκαλύπτει ότι ένα ελάττωμα σχεδιασμού του iOS 16 "Λειτουργία κλειδώματος" επιτρέπει στους ιστότοπους να εντοπίζουν χρήστες που έχουν ενεργοποιήσει τη λειτουργία. Παρόλο που η λειτουργία κλειδώματος θα εξασφαλίσει την ασφάλεια των χρηστών, θα θέσει σε κίνδυνο την ιδιωτικότητά τους.
Για να προστατεύσει τους χρήστες που είναι στόχοι εξελιγμένων spyware όπως κυβερνητικοί αξιωματούχοι, δημοσιογράφοι και ακτιβιστές ανθρωπίνων δικαιωμάτων, η Apple εισήγαγε τη λειτουργία "Lockdown" στο επερχόμενο iOS 16, iPados 16 και MacOS Ventura Updates. Ονομάζεται "ακραία" τρόπος προστασίας, το χαρακτηριστικό θα ενεργοποιήσει ορισμένες λειτουργίες όταν ενεργοποιείται όπως η απενεργοποίηση εικόνων και συνδέσμων στην εφαρμογή μηνυμάτων, η συλλογή JavaScript, οι υπηρεσίες της Apple και άλλοι.
Η λειτουργία κλειδώματος απενεργοποιεί μια σειρά χαρακτηριστικών που επιτρέπουν στους ιστότοπους στους χρήστες δακτυλικών αποτυπωμάτων
Μια εταιρεία που επικεντρώνεται στην προστασία της ιδιωτικής ζωής, η Cryptee δημιούργησε μια απόδειξη της ιστοσελίδας της ιδέας που ανιχνεύει εάν ένας χρήστης διαθέτει τη λειτουργία λειτουργίας κλειδώματος ενεργοποιημένη ή απενεργοποιημένη. Ο Διευθύνων Σύμβουλος της Εταιρείας και ένας ακτιβιστής απορρήτου, ο John Ozbay εξήγησε στη μητρική πλακέτα ότι η νέα λειτουργία απορρήτου απενεργοποιεί ορισμένες λειτουργίες όπως προσαρμοσμένες γραμματοσειρές που επιτρέπουν στους ιστότοπους στους χρήστες δακτυλικών αποτυπωμάτων που επιλέγουν στη λειτουργία.
"Ας υποθέσουμε ότι είστε στην Κίνα και χρησιμοποιείτε τη λειτουργία κλειδώματος. Τώρα, κάθε ιστοσελίδα που επισκέπτεστε θα μπορούσε να ανιχνεύσει αποτελεσματικά ότι χρησιμοποιείτε τη λειτουργία κλειδώματος, έχουν και τη διεύθυνση IP σας, οπότε θα είναι πραγματικά σε θέση να προσδιορίσετε ότι ο χρήστης με αυτή τη διεύθυνση IP χρησιμοποιεί τη λειτουργία κλειδώματος", δήλωσε ο Ozbay σε μια κλήση. "Είναι ένα εμπόδιο μεταξύ ασφάλειας και ιδιωτικής ζωής. [Η Apple] επέλεξε την ασφάλεια."
Ο Ozbay είπε επίσης ότι ήταν πολύ εύκολο για αυτούς να ανιχνεύσουν τους χρήστες που είχαν ενεργοποιήσει τη λειτουργία επειδή είναι ένα ελάττωμα σχεδιασμού και όχι ένα σφάλμα. Ένας υπάλληλος της Apple επιβεβαίωσε επίσης το εύρημα του Cryptee.
"Οι γραμματοσειρές ιστού είναι απενεργοποιημένες σκόπιμα για να αφαιρέσουν τη γραμματοσειρά από την διαθέσιμη επιφάνεια επίθεσης στο διαδίκτυο", και ότι οι "επιθέσεις τρύπα ποτίσματος είναι μέρος του μοντέλου απειλής μας, οπότε δεν είμαι σίγουρος ότι θα είχε νόημα να έχουν εξαιρέσεις γραμματοσειράς ιστού ανά ιστότοπο". (Οι επιθέσεις με τρύπα ποτίσματος είναι εκμεταλλεύσεις όπου οι χάκερ δελεώνουν ένα θύμα σε έναν γνωστό ιστότοπο όπου έγραψαν κακόβουλο λογισμικό ή ένα copycat ενός γνωστού ιστότοπου που εξυπηρετεί κακόβουλο λογισμικό.)
Η έκθεσηκαταλήγειΌτι οι χρήστες δακτυλικών αποτυπωμάτων και η εύρεση των διευθύνσεων IP τους μέσω της νέας λειτουργίας ισοδυναμούν με τη ζωγραφική ενός τεράστιου στόχου στις πλάτες του χρήστη που είναι πιο ευάλωτοι και ο μόνος τρόπος για να περιορίσετε την ορατότητα των χρηστών online θα ήταν εάν όλοι επιτρέπουν τη λειτουργία κλειδώματος και τα συνδυασμό στο πλήθος.
"Όσο για την αποτύπωση δακτυλικών αποτυπωμάτων, είναι δυστυχώς ένα εμπόριο που πρέπει πάντα να αντιμετωπίζουμε.
Συνιστώμενη ανάγνωση:Πώς να εντοπίσετε ψεύτικες ιστοσελίδες αγορών το 2023