Apple’ın Safari tarayıcısında, Avrupa Birliği’ndeki iPhone kullanıcılarını yetkisiz izlemeye maruz bırakabilecek önemli bir güvenlik açığı tespit edildi.
Bu güvenlik açığı, iOS 17.4’te sunulan ve alternatif pazarlardaki uygulamaların doğrudan Safari aracılığıyla yüklenmesini kolaylaştırmak için tasarlanan yeni bir özellikten kaynaklanıyor.
Kusurun Arka Planı
Sorun ilk olarak güvenlik araştırmacıları Talal Haj Bakry ve Tommy Mysk tarafından bildirildi ve yeni bir URI şemasının uygulanmasının, marketplace-kitApple tarafından farklı web sitelerindeki kullanıcıları izlemek için kullanılabilir.
Bu plan, Apple’ın pazar hakimiyetini azaltmaya yönelik yeni AB düzenlemelerine uygun olarak, AB kullanıcılarının App Store’a girmeden üçüncü taraf pazarlardan uygulama indirmelerine ve yüklemelerine olanak sağlamayı amaçlıyordu.
Güvenlik Açığının Teknik Ayrıntıları
Güvenlik açığı, uygulama yükleme işlemi sırasında ortaya çıkıyor. Bir kullanıcı Safari kullanarak bir pazaryeri web sitesinden uygulama yüklemeye karar verdiğinde tarayıcı, marketplace-kit URI şemaları.
Bu eylem, pazaryerinin arka uç sunucularıyla iletişimi yöneten MarketplaceKit sürecini tetikler.
Bu süreçte benzersiz client_id tanımlayıcı pazara gönderilir. Endişe verici bir şekilde, bu tanımlayıcı yalnızca benzersiz değil, aynı zamanda farklı oturumlar ve web siteleri arasında da tutarlıdır.
Bu tutarlılık, bu şemayı kullanan birden fazla sitedeki kullanıcıların çevrimiçi etkinliklerinin potansiyel olarak izlenmesine olanak tanır.
Gizlilik kaygısının özü, herhangi bir web sitesinin MarketplaceKit sürecini yalnızca MarketplaceKit’i arayarak tetikleyebilmesidir. marketplace-kit URI şemaları.
Bu, birden fazla web sitesinin potansiyel olarak bir kullanıcının çevrimiçi davranışını izlemek için işbirliği yapabileceği anlamına gelir. client_id tanımlayıcı.
Bu kusur özellikle endişe vericidir çünkü kullanıcıları siteler arası izlemeye karşı koruyan Safari, web sitesinin kaynağını doğrulayamadığı için URI şemasına çağrı yapar.
Web sitesinin kaynağını istekte iletilen URL’ye göre kontrol eden Brave gibi diğer tarayıcıların aksine, Safari’de bu güvenlik önlemi mevcut değildir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Apple’ın Müdahale ve Güvenlik Önlemleri
Brave, Ecosia ve Safari de dahil olmak üzere yalnızca seçilmiş birkaç tarayıcı, Apple’ın URI sch’i kullanma iznine sahiptir.eme as of right Şimdi. Bu tarayıcıların bu özelliği desteklemek için Apple’dan özel bir yetki alması gerekir.
Araştırmacılar, Apple’ın bu uygulamasının “felaket niteliğinde güvenlik ve gizlilik kusurları” içerdiğini vurguladı.
Güvenlik açığının olası kötüye kullanımını önlemek için Apple’ı bu sorunları düzeltmek üzere derhal harekete geçmeye çağırıyorlar.
Bu takip riskini azaltmak için, Apple bu kusuru giderene kadar kullanıcıların üçüncü taraf pazarlardan uygulama yükleme konusunda dikkatli olmaları önerilir.
Kullanıcılar ayrıca aşağıdakileri desteklemeyen tarayıcıları kullanmayı da düşünmelidir: marketplace-kit Gizlilikleri konusunda endişeleri varsa URI şeması.
Bu keşif, teknoloji şirketlerinin işlevselliği gizlilik ve güvenlikle dengeleme konusunda karşılaştığı devam eden zorluklara ışık tutuyor.
Ayrıca, özellikle hassas kullanıcı verilerini işleyen özelliklerin uygulanması sırasında sıkı güvenlik testlerinin yapılmasının önemini de vurguluyor.
Apple’ın bu bulgulara Safari’nin güvenlik önlemlerinde yapılacak güncellemelerle yanıt vermesi ve tarayıcı ekosisteminde kullanıcı gizliliğinin tehlikeye atılmamasını sağlaması bekleniyor.
Durum geliştikçe Apple’ın siber güvenlik uzmanlarından daha fazla güncelleme ve öneri sunması bekleniyor.
Kullanıcıların bu güvenlik açığından yararlanma olasılığına karşı bilgi sahibi olmaları ve Apple’ın sağladığı tüm güvenlik güncellemelerini uygulamaları önerilir.
Combat Sophisticated Email Threats With AI-Powered Email Security Tool ->Try Free Demo