Peneliti Google mengungkap kekurangan di Safari yang bisa dieksploitasi untuk melacak pengguna

ApplePeramban web Safari ditemukan memiliki beberapa kelemahan keamanan yang memungkinkan aktivitas online pengguna dilacak, kata para peneliti Google.

Dalam makalah yang belum dipublikasikan, para peneliti mengungkapkan masalah dalam fitur Safari yang sebenarnya seharusnya meningkatkan privasi pengguna. Fitur Intelligent Tracking Prevention (ITP) yang ditemukan di versi iOS, iPadOS dan macOS dari browser dimaksudkan untuk memblokir pelacakan, tetapi kerentanan berarti bahwa pihak ketiga dapat mengakses informasi sensitif tentang kebiasaan browsing pengguna.

Lihat juga:

Dalam makalah, dilihat oleh Financial Times, peneliti dari tim cloud Google mengidentifikasi tidak kurang dari lima bentuk serangan potensial yang dapat mengeksploitasi kerentanan dan mengumpulkan "informasi pribadi yang sensitif tentang kebiasaan browsing pengguna".

Rincian kelemahan keamanan terungkap Apple pada Agustus tahun lalu, dan perusahaan diam-diam memperbaiki kerentanan pada bulan Desember.

The Financial Times menjelaskan (berbayar):

Menurut peneliti Google, kerentanan membuat data pribadi terbuka "karena daftar ITP secara implisit menyimpan informasi tentang situs web yang dikunjungi oleh pengguna".

Para peneliti juga mengidentifikasi cacat yang memungkinkan peretas untuk "membuat sidik jari persisten yang akan mengikuti pengguna di seluruh web", sementara yang lain bisa mengungkapkan apa yang dicari pengguna perorangan di halaman mesin pencari.

Dalam posting blog yang sedikit dipublikasikan, Apple berterima kasih kepada Google atas bantuannya, dengan mengatakan: "Kami ingin mengucapkan terima kasih kepada Google karena telah mengirimkan kepada kami laporan di mana mereka mengeksplorasi kemampuan mendeteksi ketika konten web diperlakukan secara berbeda dengan melacak pencegahan dan hal-hal buruk yang mungkin terjadi dengan deteksi tersebut. Praktik pengungkapan yang bertanggung jawab mereka memungkinkan kami untuk merancang dan menguji perubahan yang dirinci di atas. Kredit penuh akan diberikan dalam catatan rilis keamanan mendatang ".

Ironi dari fitur perlindungan privasi yang memiliki kerentanan seperti itu dicatat oleh penelitian keamanan independen Lukasz Olejnik. Dia berkata:

Anda tidak akan mengharapkan teknologi peningkatan privasi untuk memperkenalkan risiko privasi. Jika dieksploitasi atau digunakan, mereka akan memungkinkan pelacakan pengguna yang tidak disetujui dan tidak dapat dikendalikan. Meskipun saat ini kerentanan privasi semacam itu sangat jarang, masalah dalam mekanisme yang dirancang untuk meningkatkan privasi tidak terduga dan sangat kontra-intuitif.

Olejnik menambahkan bahwa cara ITP menyimpan data membuatnya rentan: "ITP menjalankan algoritmanya pada perangkat, yang membuatnya dapat mendeteksi perilaku dan" belajar "tentang mereka secara otomatis. Tetapi aspek khusus pengguna ini juga sebagian mengapa risiko informasi kebocoran mungkin terjadi ".

Kredit gambar: DANIEL CONSTANTE / Shutterstock