A koncepciót bemutató webhely felfedi, hogy az iOS 16 „Lockdown Mode” tervezési hibája lehetővé teszi a webhelyek számára, hogy azonosítsák azokat a felhasználókat, akik engedélyezték a funkciót. Bár a Lockdown mód biztosítja a felhasználók biztonságát, veszélyezteti a magánéletüket.
A kifinomult kémprogramok – például kormányzati tisztviselők, újságírók és emberi jogi aktivisták – célpontjainak kitett felhasználók védelme érdekében az Apple bevezette a „zárolási módot” a közelgő iOS 16, iPadOS 16 és macOS Ventura frissítésekben. Az „extrém” védelmi módnak nevezett funkció aktivál bizonyos funkciókat, ha engedélyezve van, mint például a képek és hivatkozások letiltása az Üzenetek alkalmazásban, a JavaScript-összeállítás, az Apple szolgáltatások és mások.
A Lezárási mód letilt egy sor olyan funkciót, amelyek lehetővé teszik a webhelyek számára, hogy ujjlenyomatot kapjanak a felhasználóktól
A Cryptee az adatvédelemre összpontosító cég egy olyan webhelyet hozott létre, amely képes felismerni, hogy a felhasználó be- vagy kikapcsolta-e a Lockdown Mode funkciót. A cég vezérigazgatója és egy adatvédelmi aktivista, John Ozbay elmagyarázta a Motherboardnak, hogy az új adatvédelmi mód letilt bizonyos funkciókat, például az egyéni betűtípusokat, amelyek lehetővé teszik, hogy a webhelyek ujjlenyomatot kapjanak a módot választó felhasználóktól.
Lásd még:Hogyan lehet azonosítani a hamis vásárlási webhelyeket 2023-ban
"Tegyük fel, hogy Kínában tartózkodik, és Lockdown módot használ. Mostantól bármelyik webhely, amelyet felkeres, hatékonyan észlelheti, hogy Ön Lockdown módot használ, és rendelkezik az Ön IP-címével is. Így valóban képesek lesznek azonosítani, hogy az ezzel az IP-címmel rendelkező felhasználó Lockdown módot használ" - mondta Ozbay egy felhívásban. "Ez egy kompromisszum a biztonság és az adatvédelem között. [Az Apple] a biztonságot választotta."
Ozbay azt is elmondta, hogy nagyon könnyű volt felismerni azokat a felhasználókat, akik engedélyezték a funkciót, mert ez tervezési hiba és nem hiba. Az Apple egyik alkalmazottja is megerősítette Cryptee megállapítását.
„A webes betűtípusokat szándékosan tiltják le, hogy eltávolítsák a betűtípus-elemzést a rendelkezésre álló webes támadási felületről”, és hogy „a támadások a fenyegetési modellünk részét képezik, ezért nem vagyok benne biztos, hogy lenne értelme webes betűtípus-kivételeket webhelyenként megadni.” (A vízi lyukra irányuló támadások olyan kihasználások, amelyek során a hackerek egy ismert webhelyre csábítják az áldozatot, ahol rosszindulatú programokat juttattak be, vagy egy ismert, rosszindulatú programokat kiszolgáló webhely másolatára.)
A jelentésarra a következtetésre juthogy a felhasználók ujjlenyomatának vétele és IP-címeik megtalálása az új módban egyenértékű azzal, mintha egy hatalmas célpontot festenének a legsebezhetőbb felhasználók hátára, és az egyetlen módja annak, hogy korlátozzák a felhasználók online láthatóságát, ha mindenki engedélyezi a Lockdown módot, és elolvad a tömegben.
"Ami az ujjlenyomatvételt illeti, ez sajnos egy kompromisszum, amellyel mindig meg kell küzdenünk. Ugyanez igaz a Torra és a Tor Browserre is – hatalmas erőfeszítéseket tesznek az ujjlenyomat-vételi képesség csökkentése érdekében, de végül kitűnik, mert te vagy az, akinek kevésbé nyomon követhető az ujjlenyomata" – mondta Ryan Stortz független biztonsági kutató, aki az iOS-t tanulmányozta a Motherboardnak.