Пользователи iPhone из ЕС: избегайте альтернативных магазинов приложений, пока Apple не исправит это.
30 апреля 2024 г.Если вы используете новейшую версию Safari на своем смартфоне, вы можете подвергнуться риску отслеживания. Это тревожный вывод двух разработчиков iOS и исследователей безопасности.
Выпустив последнее обновление iOS для своего веб-браузера, Apple наконец учла требования антимонопольного законодательства ЕС. правила, предложив жителям ЕС новый способ загрузки альтернативных магазинов приложений. Однако эта функция имеет «катастрофические недостатки безопасности и конфиденциальности», как отмечают Талал Хадж Бакри и Томми Мыск.
Это не первый раз, когда дуэт раскрывает недостатки безопасности, связанные с устройствами Apple и их приложениями. В январе они обнаружили, что приложение для iPhone X может быть отправка нежелательных личных данных без вашего ведома. В 2022 году они также сообщил об утечке данных, произошедшей при использовании сервисов VPN. на iOS 16.
Некорректная схема URI Safari
В разделе Закон о цифровом рынке (DMA), крупные технологические компании, попадающие в категорию контролеров, должны соблюдать строгие требования, направленные на сокращение антиконкурентного поведения. Apple, например, должна разрешить альтернативные магазины приложений для iOS.
Именно поэтому крупный технологический гигант представил то, что известно как Схема URI в обновлении iOS 17.4. Этот механизм позволяет пользователям iPhone и iPad в ЕС устанавливать альтернативные приложения из магазина непосредственно с веб-сайтов разработчиков.
Чтобы это работало, разработчики торговой площадки должны включить HTML-кнопку, которая при нажатии в приложении Safari запускает ссылку для установки альтернативного приложения распространения (MarketplaceKit). По словам Apple, это мера безопасности, позволяющая предотвратить установку приложений без согласия человека. Однако, по мнению исследователей, реализация Apple скорее ставит под угрозу конфиденциальность и безопасность всех пользователей iPhone в ЕС, желающих использовать эту функцию.
«Apple, должно быть, забыла, что это Интернет, и разработчики могут на самом деле стилизовать HTML-кнопки так, чтобы они выглядели практически как что угодно», — написали Бэкри и Мыск в сообщение в блоге.
Это большая проблема, поскольку, как обнаружил дуэт, когда Safari вызывает схему URI, он не проверяет, соответствует ли веб-сайт, содержащий альтернативную ссылку распространения, зарегистрированному рынку. Хуже того, они обнаружили, что браузер принимает любые параметры после вызова, даже если информация не совпадает. Другие недостатки этой системы также могут позволить злоумышленникам перехватывать и манипулировать запросами третьих сторон.
«Это идеальный рецепт для вредоносного рынка, позволяющего отслеживать пользователей на разных веб-сайтах. Все, что нужно сделать вредоносному рынку, — это получить одобрение Apple», — объяснили Бакри и Мыск, добавив, что процесс проверки Apple, как известно, ошибочен, поскольку многие мошеннические приложения продолжают проникать в официальный магазин приложений провайдера.
По мнению исследователей безопасности, все это делает людей, использующих iPhone в ЕС, уязвимыми для межсайтового отслеживания, одновременно открывая двери для различных инъекционных атак. Посмотрите видео ниже, чтобы получить дополнительную техническую информацию о том, как на практике работает процесс URI и ошибки безопасности.
Хотя недостатки в программном обеспечении не являются редкостью, Бакри и Мыск утверждают, что серьезность этих недостатков как в дизайне, так и в реализации вызывает обеспокоенность по поводу всего подхода Apple к загрузке неопубликованных приложений. На самом деле они полагают, что такая ошибка безопасности связана с тем, что Apple продолжает настаивать на том, чтобы вставить себя между альтернативными торговыми площадками и их пользователями.
Например, они объяснили, что в рамках системы Brave реализовано приложение, безопасный браузер успешно проверяет происхождение веб-сайта и не может вызвать схему URI, если URL-адреса не совпадают.
«Удивительно, но Apple считает более важным проверить, произошел ли вызов схемы из-за события кнопки HTML, чем проверка межсайтового вызова», — сказали исследователи. Теперь они призывают всех пользователей iPhone в ЕС использовать Brave, чтобы их не отслеживали.
Тем временем, как сообщает Европейская комиссия только что добавив систему iPadOS в свой список привратников, Бакри и Мыск теперь планируют оценить безопасность подхода Apple к загрузке неопубликованных приложений на устройства iPad.
Я связался с Apple по поводу этой проблемы конфиденциальности и все еще жду комментария на момент написания.
Оригинал