Akıllı telefonunuzda Safari’nin en yeni sürümünü kullanıyorsanız takip edilme riskiyle karşı karşıya olabilirsiniz. Bu, iki iOS geliştiricisi ve güvenlik araştırmacısının endişe verici bulgusudur.
Web tarayıcısına yapılan en son iOS güncellemesiyle Apple, AB’deki kişilerin alternatif uygulama mağazalarını indirmeleri için yeni bir yol sunarak AB antitröst kurallarına nihayet uyum sağladı. Ancak Talal Haj Bakry ve Tommy Mysk, bu özelliğin “yıkıcı güvenlik ve gizlilik kusurlarını” da beraberinde getirdiğini belirtiyor.
Bu, ikilinin Apple cihazları ve uygulamalarıyla bağlantılı güvenlik kusurlarını ilk kez ortaya çıkarışı değil. Ocak ayında, iPhone X uygulamasının bilginiz dışında istenmeyen kişisel veriler gönderiyor olabileceğini keşfettiler. 2022’de ayrıca iOS 16’da VPN hizmetlerini kullanırken bir veri sızıntısının meydana geldiğini de bildirdiler.
Kusurlu bir Safari URI şeması
Dijital Pazar Yasası (DMA) uyarınca, kapı denetleyicileri kategorisine giren Büyük Teknoloji şirketlerinin, rekabete aykırı davranışları azaltmaya yönelik katı gerekliliklere uyması gerekiyor. Örneğin Apple, iOS’ta alternatif uygulama mağazalarına izin vermelidir.
İşte tam da bu yüzden Big Tech devi, iOS 17.4 güncellemesinde URI şeması olarak bilinen şeyi tanıttı. Bu mekanizma, AB’deki iPhone ve iPad kullanıcılarının alternatif pazar uygulamalarını doğrudan geliştiricilerin web sitelerinden yüklemelerine olanak tanıyor.
Bunun işe yaraması için pazar yeri geliştiricilerinin, Safari uygulamasında dokunulduğunda alternatif dağıtım uygulaması yükleme bağlantısını (MarketplaceKit) başlatacak bir HTML düğmesi eklemeleri gerekiyor. Apple, bunun, pazar yerinin bir kişinin izni olmadan uygulama yüklemesini önlemek için bir güvenlik önlemi olduğunu söylüyor. Ancak araştırmacılara göre Apple’ın bu uygulaması, AB’de bu özelliği kullanmak isteyen tüm iPhone kullanıcılarının gizliliğini ve güvenliğini tehlikeye atıyor.
Bakry ve Mysk, “Apple bunun web olduğunu unutmuş olmalı ve geliştiriciler aslında HTML düğmelerini neredeyse her şeye benzeyecek şekilde biçimlendirebilirler” diye yazdı. Blog yazısı.
Bu büyük bir sorun çünkü ikilinin keşfettiği gibi, Safari URI şemasını çalıştırdığında, alternatif dağıtım bağlantısını içeren web sitesinin gerçekten kayıtlı bir pazar yeri ile eşleşip eşleşmediğini kontrol etmiyor. Daha da kötüsü, tarayıcının, bilgiler eşleşmese bile, çağrıldığında herhangi bir parametreyi kabul edeceğini buldular. Bu sistemdeki diğer kusurlar, kötü aktörlerin üçüncü taraf isteklerini de ele geçirmesine ve manipüle etmesine olanak tanıyabilir.
Bakry ve Mysk, “Bu, kötü amaçlı bir pazar yerinin farklı web sitelerindeki kullanıcıları takip edebilmesi için mükemmel bir reçetedir. Kötü amaçlı pazar yerinin tek yapması gereken, Apple tarafından onaylanmasıdır” diye açıkladı ve Apple’ın inceleme sürecinin birçok dolandırıcılık gibi bilinen bir şekilde kusurlu olduğunu ekledi. uygulamalar sağlayıcının resmi App Store’unda yolunu bulmaya devam ediyor.
Güvenlik araştırmacılarına göre tüm bunlar, AB’de iPhone kullanan kişileri siteler arası izlemeye karşı savunmasız hale getirirken, çeşitli enjeksiyon saldırılarına da kapı açıyor. URI sürecinin ve güvenlik hatalarının pratikte nasıl çalıştığı hakkında daha fazla teknik bilgi için aşağıdaki videoya bakın.
Yazılımdaki kusurlar nadir olmasa da Bakry ve Mysk, bu kusurların hem tasarım hem de uygulamadaki ciddiyetinin, Apple’ın uygulama yükleme konusundaki tüm yaklaşımı hakkında endişelere yol açtığını savunuyor. Aslında böyle bir güvenlik hatasının Apple’ın kendisini alternatif pazarlar ile kullanıcıları arasına sokma konusunda ısrar etmesinden kaynaklandığına inanıyorlar.
Örneğin, Brave uygulamasının uyguladığı sistemde güvenli tarayıcının web sitesinin kaynağını başarıyla kontrol ettiğini ve URL’ler eşleşmediğinde URI şemasını çağırmadığını açıkladılar.
Araştırmacılar, “Şaşırtıcı bir şekilde Apple, şema çağrısının bir HTML düğmesi olayından gelip gelmediğini kontrol etmenin siteler arası çağrıyı kontrol etmekten daha önemli olduğunu düşünüyor” dedi. Artık AB’deki tüm iPhone kullanıcılarını takip edilmekten kaçınmak için Brave’i kullanmaya çağırıyorlar.
Bu arada, olarak Avrupa Komisyonu yeni eklendi Bakry ve Mysk, iPadOS sistemini geçit denetleyicisi listesine ekledikten sonra, şimdi de Apple’ın iPad cihazlarına uygulama yükleme konusundaki yaklaşımının güvenliğini değerlendirmeyi planlıyor.
Bu gizlilik sorunuyla ilgili olarak Apple ile iletişime geçtim ve bu yazıyı yazdığım sırada hâlâ bir yorum bekliyorum.