Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Европейцы рискуют своей безопасностью, скачивая приложения через сторонние магазины в Safari (http://txgate.io:443/showthread.php?t=8406)

Artifact 02-13-2025 08:31 PM

К чему привела жажда контроля Apple?
https://www.securitylab.ru/upload/ib...bzyour896.jpeg
Исследователи Талал Хадж Бакри и Томми Миск изучили , как Apple интегрирует сторонние магазины приложений на своих устройствах. В ходе проверки были обнаружены уязвимости, подвергающие риску безопасность и конфиденциальность пользовательских данных.
Нововведение в операционной системе iOS 17.4 позволяет пользователям в Европейском союзе устанавливать приложения через альтернативные платформы с использованием специальной схемы URI — marketplace-kit:. Эта схема позволяет веб-сайтам внедрять кнопку, которая при активации в браузере Safari запускает процесс MarketplaceKit на устройстве. Процесс инициирует связь с серверами выбранного магазина, чтобы завершить установку приложения.
Инициировать запрос marketplace-kit: может абсолютно любой сайт. После этого на устройствах с iOS 17.4 на серверы одобренного магазина отправляется универсальный идентификатор. Таким образом потенциальный злоумышленник может получить информацию о посещаемых пользователем сайтах, даже если браузер находится в режиме приватного просмотра.
Итак, Бакри и Миск выявили три ключевых недостатка в реализации схемы URI от Apple:<ul><li>Отсутствие проверки источника запроса, что открывает возможности для отслеживания активности пользователя через разные сайты.</li>
</ul><ul><li>Недостаточная валидация JSON Web Token (JWT), используемых в запросах, что увеличивает риск атак посредством внедрения вредоносного кода.</li>
</ul><ul><li>Отсутствие привязки сертификатов, увеличивающее вероятность атак типа man-in-the-middle («человек посередине»).</li>
</ul>Очевидно, что уязвимости возникли из-за желания Apple контролировать процесс взаимодействия между магазинами и покупателями. По всей видимости, это нужно для статистики и расчета комиссионных сборов.
Бакри и Миск рекомендуют европейцам использовать браузер Brave, который включает проверку источника веб-сайтов, минимизируя таким образом риски нежелательного кросс-сайтового отслеживания.
Важно отметить, что обнаруженные проблемы ставят под вопрос способность Apple защищать нашу приватность. Ведь безопасность зависит не только от того, насколько хорошую защиту обеспечивают сторонние магазины, но и от того, насколько они заинтересованы в этом.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.mysk.blog/2024/04/28/safari-tracking/</pre>


All times are GMT. The time now is 12:47 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.