Konsept kanıtı web sitesi, iOS 16 “kilitleme modu” tasarım kusurunun web sitelerinin özelliği etkinleştiren kullanıcıları tanımlamasına izin verdiğini ortaya koyuyor. Kilitleme modu kullanıcıların güvenliğini sağlayacak olsa da, gizliliklerini tehlikeye atacaktır.
Hükümet yetkilileri, gazeteciler ve insan hakları aktivistleri gibi sofistike casus yazılımların hedefleri olan kullanıcıları korumak için Apple, yaklaşan iOS 16, iPados 16 ve MacOS Ventura güncellemelerinde “kilitleme modu” nu tanıttı. “Aşırı” koruma şekli olarak adlandırılan özellik, Mesajlar uygulamasındaki görüntüleri ve bağlantıları devre dışı bırakmak, JavaScript derlemesi, Apple Services ve diğerleri gibi belirli işlevleri etkinleştirecektir.
Kilitleme modu, web sitelerinin parmak izi kullanıcılarını sağlayan bir dizi özelliği devre dışı bırakır
Gizlilik odaklı bir şirket olan Cryptee, bir kullanıcının kilitleme modu özelliğine sahip olup olmadığını algılayan bir konsept web sitesi oluşturdu. Şirketin CEO'su ve bir gizlilik aktivisti John Ozbay, anakarta yeni gizlilik modunun, web sitelerinin modu seçen kullanıcıları parmak izi yapmasını sağlayan özel yazı tipleri gibi belirli özellikleri devre dışı bıraktığını açıkladı.
Ozbay, “Diyelim ki Çin'de olduğunuzu ve kilitleme modunda olduğunuzu varsayalım. Şimdi, ziyaret ettiğiniz herhangi bir web sitesi kilitleme modunu kullandığınızı etkili bir şekilde algılayabilir, IP adresinizi de kullanıyorlar. Bu nedenle, bu IP adresine sahip kullanıcının kilitleme modunu kullandığını belirleyebilecekler” dedi. “Bu güvenlik ve gizlilik arasındaki bir denge. [Apple] Güvenliği seçti.”
Ozbay ayrıca, özelliği etkinleştiren kullanıcıları tespit etmelerinin çok kolay olduğunu söyledi çünkü bir hata değil, bir tasarım kusuru. Bir Apple çalışanı da Cryptee'nin bulgusunu destekledi.
“Web yazı tipleri, kullanılabilir web saldırısı yüzeyinden yazı tipi ayrıştırmasını kaldırmak için kasıtlı olarak devre dışı bırakılır” ve “Sulama deliği saldırıları tehdit modelimizin bir parçasıdır, bu yüzden site başına web yazı tipi istisnaları almanın mantıklı olacağından emin değilim.” (Sulama deliği saldırıları, bilgisayar korsanlarının kötü amaçlı yazılım enjekte ettikleri bilinen bir web sitesine kurbanı ya da kötü amaçlı yazılımlara hizmet veren bilinen bir web sitesinin taklitçisini çektiği istismarlardır.)
RaporsonuçlandırıyorBu parmak izi kullanıcıları ve IP adreslerini yeni mod aracılığıyla bulmak, kullanıcının en savunmasız olan sırtlarında büyük bir hedef boyamaya eşdeğerdir ve kullanıcıların çevrimiçi görünürlüğünü sınırlamanın tek yolu, herkesin kilitleme modunu ve kalabalığın içinde karışıyorsa olacaktır.
“Ne yazık ki, her zaman uğraşmamız gereken bir takas. Tor ve Tor tarayıcısı için de geçerlidir - herhangi bir parmak izi yeteneğini azaltmak için büyük uzunluklara giderler, ancak daha az izlenebilir parmak izleri olan biri olduğunuz için,” diye çalışan IOS'u inceleyen bağımsız bir güvenlik araştırmacısı olan Ryan Stortz.
Önerilen Okuma:2023'te sahte alışveriş web siteleri nasıl tanımlanır