更多

    Google 報告指 Safari 保護私隱功能 ITP 存在漏洞

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 資訊保安工程小組昨日發表報告,指 Apple 在 2017 年在 Safari 上推出的保護私隱功能 ITP ( Intelligent Tracking Prevention ,智能防止追踪)存在漏洞,有漏洞個人資料的可能性。 Apple 去年 12 月曾發表網誌,感謝 Google 提供有關惡意利用 ITP 來追踪用戶的報告,相信所指的就是昨日公開的報告。

    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。
    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。

    ITP 是 Apple 在 2017 年 macOS 更新時引入 Safari 的私隱保護功能,用來限制以「第三方 Cookie 」來進行跨網追踪。所謂第三方 Cookie ,簡單來說就是瀏覽 A 網站時會留下 B 網站的 Cookie ,做法是 A 網站嵌入了來自 B 網絡服務的 Javascript 程式,該些程式會追踪用戶在源網站的行為和瀏覽紀錄,以 Cookie 紀錄下來。用來進行如用戶行為調查、針對性廣告等。常見的第三方 Cookie 就有廣告平台、 Amazon 和 Facebook 等 SDK 。

    Safari 和 Firefox 都早已禁止了這種第三方 Cookie ,而 Google 也在上月公布 Chrome 會在兩年內逐步取消對第三方 Cookie 的支援。而今次 Google 報告指出 Safari 的 ITP 不單無法阻止惡意網站追踪用戶,甚至反而可能洩漏用戶瀏覽紀錄!

    報告指出五種利用 ITP 漏洞可採取的攻擊:

    1. 披露 ITP 清單中的網域;
    2. 識別出個別到訪過的網站;
    3. 透過 ITP pinning 建立持續追踪指紋;
    4. 將網域強制加入 ITP 清單;
    5. 透過 ITP 進行跨網站搜尋攻擊;

    Google 的 Chrome 的保安與私隱的工程總監 Justin Schuh 指 Apple 雖然已經修補了漏洞,不過應該沒有根治問題。因為與 ITP 同類限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能確認得到,一定要刪除有問題的程式碼才能解決得到,但那對 ITP 來說那是重要的部分,要看 Apple 打算怎樣解決問題。

    您會感興趣的內容

    相關文章