Et proof-of-concept-websted afslører, at en designfejl i iOS 16 "Lockdown Mode" tillader websteder at identificere brugere, der har aktiveret funktionen. Selvom Lockdown Mode vil sikre brugernes sikkerhed, vil det bringe deres privatliv i fare.
For at beskytte brugere, der er mål for sofistikeret spyware som embedsmænd, journalister og menneskerettighedsaktivister, har Apple introduceret "Lockdown Mode" i de kommende iOS 16, iPadOS 16 og macOS Ventura-opdateringer. Kaldet "ekstrem" beskyttelsestilstand, vil funktionen aktivere visse funktionaliteter, når den er aktiveret, såsom deaktivering af billeder og links i Messages-appen, JavaScript-kompilering, Apple-tjenester og andre.
Få flere oplysninger:Google tillader annoncører at fingeraftryk dig for endnu bedre sporing
Lockdown Mode deaktiverer en række funktioner, der gør det muligt for websteder at fingeraftryk brugere
Cryptee, som er et privatlivsfokuseret firma, har skabt et proof of concept-websted, der registrerer, om en bruger har funktionen Lockdown Mode slået til eller fra. Administrerende direktør for virksomheden og en privatlivsaktivist, John Ozbay, forklarede til Motherboard, at den nye privatlivstilstand deaktiverer visse funktioner såsom brugerdefinerede skrifttyper, som gør det muligt for websteder at fingeraftryk brugere, der vælger denne tilstand.
"Lad os sige, at du er i Kina, og du bruger Lockdown Mode. Nu, ethvert websted, du besøger, kan effektivt registrere, at du bruger Lockdown Mode, de har også din IP-adresse. Så de vil faktisk være i stand til at identificere, at brugeren med denne IP-adresse bruger Lockdown Mode," sagde Ozbay i et opkald. "Det er en afvejning mellem sikkerhed og privatliv. [Apple] valgte sikkerhed."
Ozbay sagde også, at det var meget nemt for dem at opdage de brugere, der havde aktiveret funktionen, fordi det er en designfejl og ikke en fejl. En Apple-medarbejder bekræftede også Cryptees konstatering.
"webskrifttyper er deaktiveret med vilje for at fjerne skrifttypeparsing fra tilgængelig webangrebsoverflade," og at "vandhulsangreb er en del af vores trusselsmodel, så jeg er ikke sikker på, at det ville give mening at have webfontundtagelser pr. websted." (Vandhulsangreb er udnyttelser, hvor hackere lokker et offer til et kendt websted, hvor de injicerede malware, eller en kopi af et kendt websted, der serverer malware.)
Rapportenafslutterat fingeraftryk af brugere og finde deres IP-adresser gennem den nye tilstand svarer til at male et massivt mål på brugerens ryg, som er mest sårbare, og den eneste måde at begrænse brugernes synlighed online ville være, hvis alle aktiverer Lockdown Mode og blander sig i mængden.
"Med hensyn til fingeraftryk er det desværre en afvejning, vi altid skal forholde os til. Det samme gælder for Tor og Tor-browseren - de går meget op i at reducere enhver fingeraftryksevne, men du ender med at skille dig ud, fordi du er den med færre sporbare fingeraftryk," sagde Ryan Stortz, en uafhængig sikkerhedsforsker, der har studeret iOS, til Motherboard.