Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Европейцы рискуют своей безопасностью, скачивая приложения через сторонние магазины в Safari

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 02-13-2025, 08:31 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

К чему привела жажда контроля Apple?

Исследователи Талал Хадж Бакри и Томми Миск изучили , как Apple интегрирует сторонние магазины приложений на своих устройствах. В ходе проверки были обнаружены уязвимости, подвергающие риску безопасность и конфиденциальность пользовательских данных.
Нововведение в операционной системе iOS 17.4 позволяет пользователям в Европейском союзе устанавливать приложения через альтернативные платформы с использованием специальной схемы URI — marketplace-kit:. Эта схема позволяет веб-сайтам внедрять кнопку, которая при активации в браузере Safari запускает процесс MarketplaceKit на устройстве. Процесс инициирует связь с серверами выбранного магазина, чтобы завершить установку приложения.
Инициировать запрос marketplace-kit: может абсолютно любой сайт. После этого на устройствах с iOS 17.4 на серверы одобренного магазина отправляется универсальный идентификатор. Таким образом потенциальный злоумышленник может получить информацию о посещаемых пользователем сайтах, даже если браузер находится в режиме приватного просмотра.
Итак, Бакри и Миск выявили три ключевых недостатка в реализации схемы URI от Apple:
  • Отсутствие проверки источника запроса, что открывает возможности для отслеживания активности пользователя через разные сайты.

  • Недостаточная валидация JSON Web Token (JWT), используемых в запросах, что увеличивает риск атак посредством внедрения вредоносного кода.

  • Отсутствие привязки сертификатов, увеличивающее вероятность атак типа man-in-the-middle («человек посередине»).

Очевидно, что уязвимости возникли из-за желания Apple контролировать процесс взаимодействия между магазинами и покупателями. По всей видимости, это нужно для статистики и расчета комиссионных сборов.
Бакри и Миск рекомендуют европейцам использовать браузер Brave, который включает проверку источника веб-сайтов, минимизируя таким образом риски нежелательного кросс-сайтового отслеживания.
Важно отметить, что обнаруженные проблемы ставят под вопрос способность Apple защищать нашу приватность. Ведь безопасность зависит не только от того, насколько хорошую защиту обеспечивают сторонние магазины, но и от того, насколько они заинтересованы в этом.
Code:
https://www.mysk.blog/2024/04/28/safari-tracking/
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:15 PM.

Contact Us - Carder.life - Archive - Top