Что просочилось в сеть в Apple
Обновлено: 04.07.2024
Пока еще не исправленная уязвимость в новой службе Apple iCloud Private Relay для iOS 15 означает, что она может привести к утечке истинных IP-адресов пользователей, заявил исследователь безопасности.
iCloud Private Relay — это бесплатное обновление, предоставляемое платным пользователям iCloud в последнем обновлении операционной системы Apple для мобильных устройств, которое было выпущено вчера (21 сентября).
Он похож на VPN тем, что шифрует трафик просмотра веб-страниц и отправляет его через ретранслятор, чтобы скрыть содержимое, а также местоположение и IP-адрес пользователя. Любые посещаемые веб-сайты должны видеть только IP-адрес прокси-сервера, назначенный iCloud.
Вектор утечки WebRTC
Однако исследователь безопасности обнаружил, что он может передавать IP-адреса через WebRTC, API браузера, который позволяет веб-сайтам устанавливать прямую связь между посетителями веб-сайта и который в прошлом был связан с аналогичными недостатками в других браузерах.
WebRTC настраивает связь с помощью платформы ICE (установление интерактивного подключения). Это включает в себя сбор «кандидатов ICE», которые включают IP-адрес или доменное имя, порт, протокол и другую информацию. Затем браузер вернет кандидаты ICE в приложение браузера.
Однако, как пишет Сергей Моцевенко, исследователь и разработчик браузерной библиотеки FingerprintJS, Safari передает кандидаты ICE, содержащие реальные IP-адреса, в среду JavaScript.
«Деанонимизация вас затем становится вопросом анализа вашего реального IP-адреса от кандидатов ICE — это легко сделать с помощью веб-приложения», — говорит он.
Перспективы исправления
Моцевенко рекомендует либо переключиться на VPN, либо отключить JavaScript в настройках браузера Safari, чтобы отключить WebRTC, хотя это может повлиять на отображение веб-сайтов, созданных с помощью JavaScript.
Исследователь сообщил, что уязвимость была устранена в недавно выпущенной бета-версии MacOS Monterey. Стабильная версия macOS должна выйти осенью.
Возможно, скоро появится исправление для Safari под iOS, сообщил The Daily Swig независимый исследователь и консультант по вопросам конфиденциальности доктор Лукаш Олейник. «В общем, решить ее будет не так уж и сложно».
FingerprintJS уведомил Apple о проблеме, но пока не получил ответа.
«Мы считаем, что это довольно серьезная утечка, поскольку она затрагивает всех, кто использует Private Relay с момента ее запуска в iOS 15, — сообщил The Daily Swig представитель. «Apple рекламировала новую функцию как защиту IP-адресов от посещаемых веб-сайтов для защиты конфиденциальности пользователей, хотя из-за этой уязвимости IP-адреса могут быть доступны.
"Уязвимость подрывает ключевые функции функции и может дать пользователям ложное ощущение безопасности относительно того, какая часть их личной информации защищена во время просмотра".
The Daily Swig связалась с Apple для получения комментариев, и мы обновим эту статью, если получим ответ.
AppleInsider поддерживается своей аудиторией и может получать комиссию в качестве ассоциированного и аффилированного партнера Amazon за соответствующие покупки. Эти партнерские отношения не влияют на наши редакционные материалы.
Недостаток, обнаруженный в новой функции iCloud Private Relay от Apple, лишает эту функцию смысла, раскрывая IP-адрес пользователя при соблюдении определенных условий.
Как подробно описал исследователь и разработчик Сергей Моцевенко в своем блоге на этой неделе, ошибка в обработке WebRTC в Private Relay может привести к «утечке» реального IP-адреса пользователя. Доказательство концепции доступно на веб-сайте FingerprintJS.
Объявленный на Всемирной конференции разработчиков в июне, Private Relay обещает предотвратить стороннее отслеживание IP-адресов, местонахождения пользователя и других сведений путем маршрутизации интернет-запросов через два отдельных ретранслятора, управляемых двумя разными организациями. По словам Apple, интернет-соединения, настроенные для прохождения через Private Relay, используют анонимные IP-адреса, которые сопоставляются с регионом пользователя, но не раскрывают его точное местоположение или личность.
Теоретически веб-сайты должны видеть только IP-адрес исходящего прокси-сервера, но реальный IP-адрес пользователя, который сохраняется в определенных сценариях связи WebRTC, можно определить с помощью хитроумного кода.
Как объяснил Моцевенко, API WebRTC используется для облегчения прямой связи через Интернет без необходимости использования промежуточного сервера. Развернутый в большинстве браузеров, WebRTC опирается на структуру установления интерактивного соединения (ICE) для соединения двух пользователей. Один браузер собирает ICE-кандидаты — потенциальные методы подключения — для поиска и установления связи со вторым браузером.
Уязвимость связана с Server Reflexive Candidate, кандидатом, используемым утилитами обхода сеанса для серверов NAT (STUN) для подключения к устройствам, находящимся за NAT. Преобразование сетевых адресов (NAT) — это протокол, который позволяет нескольким устройствам получать доступ к Интернету через один IP-адрес. Важно отметить, что серверы STUN используют общедоступный IP-адрес пользователя и номер порта.
"Поскольку Safari не передает STUN-запросы через iCloud Private Relay, STUN-серверы знают ваш реальный IP-адрес. Само по себе это не проблема, поскольку у них нет другой информации; IP-адреса в среду JavaScript», — говорит Моцевенко. "В таком случае ваша деанонимизация становится вопросом анализа вашего реального IP-адреса у кандидатов ICE, что легко сделать с помощью веб-приложения."
По словам исследователя, IP-адрес пользователя можно получить, создав объект соединения с сервером STUN, собрав кандидатов ICE и проанализировав значения.
The Hacker News сообщил об открытии FingerprintJS в пятницу.
FingerprintJS сообщила об уязвимости в Apple, и компания выпустила исправление в последней бета-версии macOS Monterey, выпущенной на этой неделе. Уязвимость остается неустраненной в iOS 15.
Apple снова наращивает усилия по борьбе с утечками информации и ответственными за них сотрудниками. В служебной записке, которая просочилась в Verge, Кук говорит, что Apple делает «все, что в наших силах, чтобы идентифицировать» внутренних утечек, и добавил, что «люди, которые сливают конфиденциальную информацию здесь не место».
Записка была разослана сотрудникам во вторник вечером и появилась после того, как в пятницу просочилась информация о всеобщем собрании Apple. В служебной записке Кук говорит, что, по его словам, многие сотрудники были «невероятно расстроены, увидев, что содержание встречи стало известно журналистам».
Хотя служебная записка Кука была опубликована после утечки информации о встрече, она также распространяется на утечку информации о продуктах. Кук признает, что ряд подробностей, касающихся iPhone 13 и других анонсов Apple, просочился до сентябрьского мероприятия Apple.
Кук говорит, что Apple делает «все, что в наших силах», чтобы найти виновных в утечке информации в прессу:
Я пишу сегодня, потому что слышал от многих из вас, что они были невероятно разочарованы, увидев, что содержание встречи просочилось к репортерам. Это произошло после запуска продукта, когда большая часть деталей наших объявлений также просочилась в прессу.
Я хочу, чтобы вы знали, что я разделяю ваше разочарование. Эти возможности для общения в команде действительно важны. Но они работают только в том случае, если мы можем быть уверены, что контент останется в Apple. Я хочу заверить вас, что мы делаем все, что в наших силах, чтобы найти тех, кто слил информацию. Как вы знаете, мы не приемлем раскрытия конфиденциальной информации, будь то интеллектуальная собственность продукта или подробности конфиденциальной встречи. Мы знаем, что ликеры составляют небольшое количество людей. Мы также знаем, что людям, которые сливают конфиденциальную информацию, здесь не место.
Полный текст служебной записки можно прочитать на странице Verge. Примечательно, однако, что это не первый раз, когда Кук обещает удвоить культуру секретности Apple. Пока неизвестно, добьется ли компания успеха на этот раз.
FTC: мы используем автоматические партнерские ссылки, приносящие доход. Подробнее.