Google 資訊保安工程小組昨日發表報告,指 Apple 在 2017 年在 Safari 上推出的保護私隱功能 ITP ( Intelligent Tracking Prevention ,智能防止追踪)存在漏洞,有漏洞個人資料的可能性。 Apple 去年 12 月曾發表網誌,感謝 Google 提供有關惡意利用 ITP 來追踪用戶的報告,相信所指的就是昨日公開的報告。
ITP 是 Apple 在 2017 年 macOS 更新時引入 Safari 的私隱保護功能,用來限制以「第三方 Cookie 」來進行跨網追踪。所謂第三方 Cookie ,簡單來說就是瀏覽 A 網站時會留下 B 網站的 Cookie ,做法是 A 網站嵌入了來自 B 網絡服務的 Javascript 程式,該些程式會追踪用戶在源網站的行為和瀏覽紀錄,以 Cookie 紀錄下來。用來進行如用戶行為調查、針對性廣告等。常見的第三方 Cookie 就有廣告平台、 Amazon 和 Facebook 等 SDK 。
Safari 和 Firefox 都早已禁止了這種第三方 Cookie ,而 Google 也在上月公布 Chrome 會在兩年內逐步取消對第三方 Cookie 的支援。而今次 Google 報告指出 Safari 的 ITP 不單無法阻止惡意網站追踪用戶,甚至反而可能洩漏用戶瀏覽紀錄!
報告指出五種利用 ITP 漏洞可採取的攻擊:
- 披露 ITP 清單中的網域;
- 識別出個別到訪過的網站;
- 透過 ITP pinning 建立持續追踪指紋;
- 將網域強制加入 ITP 清單;
- 透過 ITP 進行跨網站搜尋攻擊;
Google 的 Chrome 的保安與私隱的工程總監 Justin Schuh 指 Apple 雖然已經修補了漏洞,不過應該沒有根治問題。因為與 ITP 同類限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能確認得到,一定要刪除有問題的程式碼才能解決得到,但那對 ITP 來說那是重要的部分,要看 Apple 打算怎樣解決問題。