Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Fehler in Safari Tracking Prevention selbst ermöglicht Tracking der Nutzer

Apple sagte im Sommer 2017 der Nutzerverfolgung im Internet den Kampf an: Durch verschiedene Mechanismen werden Nutzer über Webseitengrenzen hinweg verfolgt, um zielgerichtete Werbung auszusteuern – oder gar ein komplettes Profil des Nutzers zu erstellen. Apple versucht das zu verhindern und nennt dieses Feature "Intelligent Tracking Prevention". Mit jedem größeren Safari-Update verfeinerte Apple diesen Schutz. Beispielsweise ist es nicht mehr gestattet, aus Javascript heraus Cookies zu setzen, welche länger als 10 Tage Gültigkeit haben.


Google findet Fehler
Ausgerechnet Google, dessen Haupteinnahmequelle die zielgerichtete Aussteuerung von Werbung ist, fand in der Intelligent Tracking Prevention von Apple einem Bericht der Financial Times nach zahlreiche Fehler. Anstatt die Fehler zur Umgehung der Tracking Prevention auszunutzen, meldete Google die Fehler im August 2019 an Apple.

Intelligent Tracking Prevention selbst gibt Informationen preis
Insgesamt gibt es fünf verschiedene Angriffsvektoren – noch sind aber keine genauen Details zu den Schwachstellen durchgesickert. Es ist bislang nur bekannt, dass Angreifer es ausnutzen können und Safari im Hintergrund Informationen zu den besuchten Webseiten speichert – anscheinend lassen sich genau diese Informationen abgreifen und ausnutzen, um einen Nutzer eindeutig zu identifizieren. Auch die anderen Schwachstellen lassen sich wohl dazu ausnutzen den Nutzer über Webseitengrenzen hinweg zu tracken.

Ob die Fehler in Safari derzeit aktiv ausgenutzt werden, ist nicht bekannt. Google hält die genaue Dokumentation der Schwachstellen aktuell noch unter Verschluss. Laut einem Sicherheitsforscher, welcher Zugang zu Googles Dokumentation hatte, sind die Schwachstellen so schwerwiegend, dass diese ein komplettes Tracking ohne Nutzerinteraktion ermöglichen.

Mit Safari 13.0.4 behoben?
Noch ist nicht ganz sicher, ob die Mängel in der Intelligent Tracking Prevention behoben sind oder nicht. In den Update-Notizen zu Safari 13.0.4 dankt Apple Google für die Übermittlung der Fehlerberichte – doch es wird nicht darauf eingegangen, welche spezifischen Schwachstellen Apple in dem Update beseitigte.

Update: Die Beschreibung der Sicherheitsmängel ist nun verfügbar. Es ist nicht bekannt, ob es sich hierbei um die komplette Dokumentation handelt oder ob Google noch weitere Schwachstellen meldete. Es werden diverse Möglichkeiten aufgezeigt, wie man von einer Webseite aus beispielsweise die Einträge auf der internen Verlaufsliste abfragen kann.

Kommentare

sierkb23.01.20 09:04
The Register (22.01.2020): Safari's Intelligent Tracking Protection is misspelled, says Google: It should be Dumb Browser Stalking Enabler
Chocolate Factory boffins doubt Apple can fix it, either

Reuters (22.01.2020): Google finds security flaws in Apple's web browser: FT

Details:

arxiv.org (20.01.2020): Information Leaks via Safari’s Intelligent Tracking Prevention (PDF, 6 Seiten)
Information Leaks via Safari’s Intelligent Tracking Prevention
artur janc, krzysztof kotowicz, lukas weichselbaum, roberto clapis

ABSTRACT

Intelligent Tracking Prevention (ITP) is a privacy mechanism implemented by Apple’s Safari browser,released in October 2017[1]. ITP aims to reduce the cross-site tracking of web users by limiting thecapabilities of cookies and other website data[2].As part of a routine security review, the Information Security Engineering team at Google has identifiedmultiple security and privacy issues in Safari’s ITP design. These issues have a number of unexpectedconsequences, including the disclosure of the user’s web browsing habits, allowing persistent cross-sitetracking, and enabling cross-site information leaks[3] (including cross-site search[4]).This report is a modestly expanded version of our original vulnerability submission to Apple (WebKitbug #201319[5]), providing additional context and edited for clarity. A number of the issues discussedhere have been addressed in Safari 13.0.4 and iOS 13.3, released in December 2019[6].
[…]

Justin Schuh, Engineering Director Google Chrome:
Justin Schuh via Twitter, 22.01.2020
This is a bigger problem than Safari's ITP introducing far more serious privacy vulnerabilities than the kinds of tracking that it's supposed to mitigate. The cross-site search and related side-channels it exposes are also abusable security vulnerabilities.

https://twitter.com/lukOlejnik/status/1219873289230856198

To add some context, Chrome's XSS Auditor was found to introduce exactly the same class of side-channel vulnerabilities. After several back and forths with the team that discovered the issue, we determined that it was inherent to the design and had to remove the code.

I have no idea what Apple plans to do about this, because it's been a defining theme in their anti-tracking approach (and one of our major concerns). They attempt to mitigate tracking by adding state mechanisms, but adding state often introduces worse privacy/security issues.
Jamie Bishop via Twitter, 22.01.2020
They already fixed it apparently https://twitter.com/lucasexqdit/status/1219932716117958656?s =21
Q:

No, I can assure you that they still haven't fixed these issues, which is what made that blog post last year so weird. Apple didn't disclose the vulnerabilities or appropriately credit the researchers, but put out a post implying they fixed "something".
Q: ff.

Lukasz Olejnik via Twitter, 22.01.2020
Apple/Safari Intelligent Tracking Prevention is a mechanism intended to improve privacy. It was found to have privacy vulnerabilities allowing sites to track the user (and fingerprint), and to stealing web browser history of a user. Incredible find. https://arxiv.org/pdf/2001.07421.pdf

The reason is the design of Intelligent Tracking Prevention (this is not a coding bug). You don't expect these kind of bugs. Very serious security/privacy bug. Cool research. @kkotowicz @arturjanc janc @we1x @empijei
Q: ff.


Das, was Apple hier im Dezember als gepatcht vermeldet hat, ist offenbar nicht ausreichend, nicht wirkungsvoll bzw. die Art und Weise, wie Apple es gepatcht hat, hat offenbar das Gegenteil dessen bewirkt, was es bewirken soll und das Loch laut Schuh (s.o.) noch weiter aufgerissen bzw. weitere geschaffen:

heise (13.12.2019): Tracking-Schutz ermöglicht Tracking: Apple passt Safari an
Anti-Tracking-Techniken von Browsern lassen sich für Tracking missbrauchen, warnt Apple – nach einem Hinweis von Google.
WebKit Blog, 10.12.2019
Preventing Tracking Prevention Tracking
[…]
Thanks To Google

We’d like to thank Google for sending us a report in which they explore both the ability to detect when web content is treated differently by tracking prevention and the bad things that are possible with such detection. Their responsible disclosure practice allowed us to design and test the changes detailed above. Full credit will be given in upcoming security release notes.
Q:
-2
rosss23.01.20 09:11
Wenn Apple es in einem halben Jahr nicht schafft die Lücke zu schließen, ist entweder das Konzept kaputt oder der Wille fehlt.

In beiden Fällen sollte Apple dieses „Feature“ entfernen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.