Funkcja prywatności w Apple Safari umożliwia śledzenie użytkowników

Apple skupia się na ochronie prywatności i jest to jeden z najważniejszych punktów w reklamach ich produktów, jednak funkcja zaprojektowana w celu ochrony prywatności podczas korzystania z przeglądarki Safari stworzyła również luki, które zagrażają  danym i prywatności. We wczoraj opublikowanym artykule, grupa inżynierów bezpieczeństwa Google ujawniła szereg błędów w przeglądarce Safari, które umożliwiają potencjalnym hakerom przeglądanie historii przeglądania i wyszukiwania użytkowników. Błędy te mogą także pozwolić stronom internetowym śledzić aktywność użytkownika w internecie. Apple odmawia komentarza w tej sprawie, jednak twierdzi, że odnalezione przez Google zostały naprawione w grudniu. "Od dawna współpracujemy z firmami z branży, aby wymieniać informacje o potencjalnych lukach w zabezpieczeniach i chronić naszych użytkowników" - powiedziało w oświadczeniu Google. "Nasz główny zespół badawczy ds. zabezpieczeń ściśle współpracował z Apple nad tym zagadnieniem. Dokument techniczny po prostu wyjaśnia, co odkryli nasi badacze, aby inni mogli skorzystać z ich odkryć". Luki wynikają z funkcji Intelligent Tracking Prevention (ITP) w Safari, którą Apple zaprezentowało po raz pierwszy w 2017 roku. Narzędzie zostało zaprojektowane w celu ochrony użytkowników Safari przed śledzącymi plikami cookie stron trzecich, przez rejestrowanie ich użycia, a następnie blokowaniu witryn przed ich użyciem.

Google ujawniło obecność błędów w trybie chroniącym przed śledzeniem w przeglądarce Safari. Luki te jak na ironię umożliwiają śledzenie użytkowników. Apple nie naprawiło błędów, mimo że Google zgłosiło je już dawno temu.

ITP logowało te witryny, gdy okazywało się, że wysyłają dane umożliwiające reklamodawcom identyfikację użytkownika. Według badaczy logi te zostały dodane do "listy ITP". Zapisanie tej listy w gruncie rzeczy stworzyło potencjalnym włamywaczom możliwość szczegółowego przeglądania historii internetowej danej osoby.  Witryna mogła sprawdzić, czy określone nazwy domen znajdują się na liście ITP, co jest przydatne do śledzenia osób i mogła manipulować listą, co wzbudziło obawy dotyczące bezpieczeństwa. Luki te mogły doprowadzić do wycieku informacji i umożliwić atakującym zablokowanie dostępu do niektórych stron internetowych.

To nie jest pierwsze potknięcie Apple związane z funkcjami mającymi chronić prywatność. W 2019 roku z Safari usunięto funkcję Do not track, ponieważ, jak na ironię, jej obecność pozwoliła stronom internetowym lepiej śledzić ludzi, tworząc wirtualny odcisk palca oraz zbierając ustawienia przeglądarki. Funkcja "Nie śledź" była próbą twórców przeglądarek, obrońców prywatności i innych osób, aby zaoferować użytkownikom sposób informowania stron internetowych, aby ich nie śledziły, ale wysiłek się nie powiódł. W przeszłości Google ujawniało poważne luki w zabezpieczeniach dotyczące Apple, w tym zestaw luk bezpieczeństwa w urządzeniach z iOS, które były wykorzystywane do atakowania muzułmanów ujgurskich w Chinach. Chociaż Apple twierdzi, że rozwiązało problem błędów ITP, w artykule Google stwierdzono, że poprawki mają spore ograniczenia, a dyrektor techniczny Google Chrome Justin Schuh w środę napisał na Twitterze, że Apple wcale nie naprawiło problemów.