Недостаток Apple Safari оставил пользователей открытыми для отслеживания их привычек просмотра
В по-видимому редком случае, когда огромные технологические фирмы ищут друг друга, Google обнаружил, что недавно сообщил Apple о серьезном недостатке безопасности, обнаруженном с помощью браузера Safari. По словам Google, эта уязвимость могла дать хакерам доступ к онлайн-поведению пользователя, а также возможность постоянного отслеживания поисковых запросов пользователя.
В техническом документе, опубликованном на этой неделе в Интернете, исследователи Google описали, как они обнаружили пять различных типов потенциальных атак, связанных с уязвимостью, которые позволили бы третьим сторонам собирать «конфиденциальную личную информацию о привычках пользователя при просмотре».
Проблема касалась технологии Apple Intelligent Tracking Prevention (ITP), механизма конфиденциальности, встроенного в браузер Safari в октябре 2017 года. ITP предназначен для сокращения межсайтового отслеживания веб-пользователей путем ограничения возможностей файлов cookie и других данных веб-сайта, но, по иронии судьбы, уязвимость ITP потенциально могла открыть данные, связанные с браузером.
Google сказал, что обнаруженный недостаток подвергает риску данные пользователей, поскольку они предлагают доступ к списку на устройстве, созданному с помощью технологии ITP, который «неявно хранит информацию о сайтах, которые посетил пользователь». Лукаш Олейник, независимый исследователь безопасности, рассказал Financial Times (FT): если бы слабость была использована или использована, это проложило бы путь к «несанкционированному и неконтролируемому отслеживанию пользователей».
По сообщению FT, Google сообщила Apple об этой уязвимости в августе 2019 года, что заставило компанию исправить ее. В конце прошлого года инженер Apple Джон Уиландер признал помощь Google в сообщении в блоге , хотя в то время отказывался предлагать какую-либо конкретную информацию о проблеме.
«Мы хотели бы поблагодарить Google за то, что прислали нам отчет, в котором они исследуют как возможность определять, когда веб-контент обрабатывается по-разному, путем отслеживания предотвращения, так и тех плохих вещей, которые возможны при таком обнаружении», — написал Уиландер в посте. «Их ответственная практика раскрытия информации позволила нам разработать и протестировать изменения, подробно описанные выше».
В отдельном заявлении, опубликованном на этой неделе, Google заявил, что всегда стремился работать с компаниями в сфере технологий, чтобы «обмениваться информацией о потенциальных уязвимостях и защищать наших соответствующих пользователей», объясняя, что основная исследовательская группа Google по безопасности работала «в тесном и совместном сотрудничестве». с Apple в этом вопросе ». Он добавил:« Технический документ просто объясняет, что обнаружили наши исследователи, чтобы другие могли извлечь выгоду из их результатов ».
Мы связались с Apple для получения дополнительной информации о проблеме безопасности в ее веб-браузере и обновим эту статью, если получим ответ.