Et proof-of-concept-nettsted avslører at en designfeil i iOS 16 "Lockdown Mode" lar nettsteder identifisere brukere som har aktivert funksjonen. Selv om låsemodus vil sikre brukernes sikkerhet, vil det sette personvernet deres i fare.
For å beskytte brukere som er mål for sofistikert spionvare som myndighetspersoner, journalister og menneskerettighetsaktivister, har Apple introdusert "Lockdown Mode" i de kommende iOS 16, iPadOS 16 og macOS Ventura-oppdateringene. Kalt "ekstrem" beskyttelsesmodus, vil funksjonen aktivere visse funksjoner når den er aktivert, som å deaktivere bilder og lenker i Messages-appen, JavaScript-kompilering, Apple-tjenester og andre.
Låsemodus deaktiverer en rekke funksjoner som gjør det mulig for nettsteder å fingeravtrykke brukere
Cryptee, et personvernfokusert selskap, opprettet et proof of concept-nettsted som oppdager om en bruker har låsemodusfunksjonen slått på eller av. Administrerende direktør i selskapet og en personvernaktivist, John Ozbay, forklarte til Motherboard at den nye personvernmodusen deaktiverer visse funksjoner som tilpassede fonter som gjør det mulig for nettsteder å fingeravtrykke brukere som velger modusen.
"La oss si at du er i Kina, og du bruker låsemodus. Nå, alle nettsider du besøker kan effektivt oppdage at du bruker låsemodus, de har også din IP-adresse. Så de vil faktisk kunne identifisere at brukeren med denne IP-adressen bruker låsemodus," sa Ozbay i en samtale. "Det er en avveining mellom sikkerhet og personvern. [Apple] valgte sikkerhet."
Ozbay sa også at det var veldig enkelt for dem å oppdage brukerne som hadde aktivert funksjonen fordi det er en designfeil og ikke en feil. En Apple-ansatt bekreftet også Cryptees funn.
"nettfonter er deaktivert med vilje for å fjerne fontparsing fra tilgjengelig nettangrepsoverflate," og at "vannhullsangrep er en del av trusselmodellen vår, så jeg er ikke sikker på at det ville være fornuftig å ha nettfontunntak per nettsted." (Vannhullsangrep er utnyttelser der hackere lokker et offer til et kjent nettsted der de injiserte skadelig programvare, eller en kopi av et kjent nettsted som serverer skadelig programvare.)
Rapportenkonkludererat å ta fingeravtrykk til brukere og finne deres IP-adresser gjennom den nye modusen tilsvarer å male et massivt mål på brukerens rygger som er mest sårbare, og den eneste måten å begrense brukernes synlighet på nettet ville være hvis alle aktiverer låsemodusen og blander seg i mengden.
Foreslått å lese:Hvordan identifisere falske shoppingnettsteder i 2023
"Når det gjelder fingeravtrykk, er det dessverre en avveining vi alltid må forholde oss til. Det samme gjelder for Tor og Tor-nettleseren - de strekker seg langt for å redusere fingeravtrykk, men du ender opp med å skille deg ut fordi du er den med mindre sporbare fingeravtrykk," sa Ryan Stortz, en uavhengig sikkerhetsforsker som har studert iOS, til Motherboard.