La función de prevención de seguimiento de Apple en Safari tiene un mistake de privacidad


La función de prevención de seguimiento de Apple en Safari tiene un error de privacidad

El mes pasado, ingenieros en Google publicado un error de privacidad muy curioso en el navegador world-wide-web Safari de Apple. La prevención de seguimiento inteligente de Apple, una función diseñada para reducir el seguimiento de usuarios, tiene vulnerabilidades que permiten el seguimiento de los usuarios. Algunos detalles:

ITP detecta y bloquea el seguimiento en la internet. Cuando visita algunos sitios world wide web que cargan el mismo recurso de terceros, ITP detecta el dominio que aloja el recurso como un posible rastreador y, a partir de ese momento, desinfecta las solicitudes world wide web a ese dominio para limitar el seguimiento. Los dominios de seguimiento se agregan a la lista interna de ITP en el dispositivo de Safari. Cuando se realicen futuras solicitudes de terceros a un dominio en la lista de ITP, Safari las modificará para eliminar cierta información que cree que puede permitir el seguimiento del usuario (como las cookies).

(…)

Los detalles deberían sorprender a todos porque resulta que ITP podría usarse efectivamente para:

  • filtraciones de información: detectar sitios world-wide-web visitados por el usuario (secuestro del historial de navegación web, robando una lista de sitios visitados)
  • seguimiento del usuario con ITP, haciendo que el mecanismo funcione como un Galleta
  • huella digital el usuario: de manera very similar a la Huella digital HSTS, pero quizás un poco mejor

Estoy seguro de que todos estamos de acuerdo en que no esperaríamos una función de privacidad destinada a proteger del seguimiento para permitir el seguimiento de manera efectiva, y también accidentalmente permitir que cualquier sitio web gown el historial de navegación net de sus visitantes. Pero la arquitectura web es compleja, y la consecuencia es que este es exactamente el caso.

manzana reparó esta vulnerabilidad en diciembre, un mes antes de que Google publicara.

Si hay alguna lección aquí, es que la privacidad es difícil, y que la ingeniería de privacidad es aún más difícil. No es que no debamos intentarlo, sino que debemos reconocer que es fácil equivocarse.

Publicado el 10 de febrero de 2020 a las 6:06 a.m.

comentarios



Enlace a la noticia primary