Команда службы кибербезопасности Google обнаружила серию крупных уязвимостей в Safari. По словам специалистов, "многочисленные" дефекты были найдены в Intelligent Tracking Prevention (ITP) — встроенной в браузер Apple системе защиты от слежения.
Эта функция появилась в Safari в 2017 году. ITP предназначена для блокировки интернет-жучков, отслеживающих перемещения пользователей между сайтами. Однако выяснилось, что система Apple сама может выступать в качестве инструмента слежки, пишет The Financial Times.
В Google описали пять сценариев, при которых злоумышленники могли воспользоваться ошибками в Safari. По иронии, сказали эксперты, ITP "неявно сохраняет информацию о посещаемых сайтах", что позволяет хакерам создать уникальный цифровой отпечаток и следить за активностью конкретного пользователя. Кроме того, благодаря другим недочетам в системе Apple можно было получить информацию о сделанных поисковых запросах.
Инженеры Google уведомили разработчиков Safari об ошибках еще в августе прошлого года. Представители Apple сообщили в блоге, что уязвимости были устранены в декабре, и поблагодарили коллег за помощь.
It has not. I explained elsewhere that Apple's blog post was confusing to the team that provided the report. The post was made during a disclosure extension Apple had requested, but didn't disclose the vulnerabilities, and the changes mentioned didn't fix the reported issues.
— Justin Schuh ���� (@justinschuh) 22 января 2020 г.
Тем не менее, на этой неделе руководитель команды разработчиков Google Chrome Джастин Шух написал, что в блоге Apple проблема истолкована неверно, а ошибки до сих пор не исправлены. Представители компании его слова не комментируют.