Google से Apple: Safari की गोपनीयता सुविधा वास्तव में iPhone उपयोगकर्ताओं को ट्रैकिंग के लिए खोलती है

Google की सूचना सुरक्षा इंजीनियरिंग टीम के शोधकर्ताओं ने Apple के Safari एंटी-ट्रैकिंग सिस्टम, इंटेलिजेंट ट्रैकिंग प्रिवेंशन (ITP) के डिज़ाइन में कई सुरक्षा मुद्दों का विवरण दिया है।

ITP को कुकीज़ को प्रतिबंधित करने के लिए डिज़ाइन किया गया है और यह उन ऑनलाइन विपणक के लिए Apple का जवाब है जो विभिन्न वेबसाइटों पर उपयोगकर्ताओं को ट्रैक करते हैं। तथापि, Google शोधकर्ताओं ने एक नए पेपर में तर्क दिया है कि आईटीपी वास्तव में सफ़ारी उपयोगकर्ताओं की वेब-ब्राउज़िंग आदतों को लीक करता है, "लगातार क्रॉस-साइट ट्रैकिंग की अनुमति देता है, और क्रॉस-साइट खोज सहित क्रॉस-साइट जानकारी लीक को सक्षम करता है"।

सफ़ारी 13.04 और iOS 13.3 में Apple के दिसंबर सुरक्षा अपडेट द्वारा कुछ बग को संबोधित किया गया था। लेकिन Google के सुरक्षा शोधकर्ताओं का कहना है कि शमन गोपनीयता के मुद्दों को पूरी तरह से हल नहीं करते हैं। वे लिखते हैं, "इस तरह के सुधार अंतर्निहित समस्या का समाधान नहीं करेंगे।"

देखना: नए साइबर सुरक्षा पेशेवरों के लिए 10 युक्तियाँ (मुफ़्त पीडीएफ)

ITP के पीछे Apple WebKit इंजीनियर, जॉन विलेंडर ने सहायता के लिए Google को धन्यवाद दिया दिसंबर में एक ब्लॉग में, ध्यान दें कि ऑनलाइन विज्ञापन की दिग्गज कंपनी "यह पता लगाने की क्षमता का पता लगाने में सक्षम थी कि वेब सामग्री को रोकथाम को ट्रैक करके अलग तरीके से व्यवहार किया जाता है और ऐसी पहचान के साथ संभावित बुरी चीजें"।

Google के शोधकर्ता आर्टूर जंक, क्रिज़िस्तोफ़ कोटोविक्ज़, लुकास वीचसेलबाम और रॉबर्टो क्लैपिस ने अब पांच हमलों का विवरण दिया है यह आईटीपी के डिज़ाइन का फायदा उठाता है, जो साइटों के बारे में विवरण वाली आईटीपी सूची बनाने के लिए ऑन-डिवाइस एल्गोरिदम पर निर्भर करता है का दौरा किया। समस्या यह है कि साइटें सफ़ारी उपयोगकर्ताओं द्वारा देखी जाने वाली वेबसाइटों के बारे में जानकारी खोजने के लिए सूची का उपयोग कर सकती हैं।

शोधकर्ता लिखते हैं, "कोई भी साइट क्रॉस-साइट अनुरोध जारी कर सकती है, एक मनमाने डोमेन के लिए आईटीपी स्ट्राइक की संख्या बढ़ा सकती है और इसे उपयोगकर्ता की आईटीपी सूची में जोड़ने के लिए मजबूर कर सकती है।"

"किसी दिए गए क्रॉस-साइट HTTP अनुरोध के लिए आईटीपी ट्रिगरिंग के दुष्प्रभावों की जांच करके, एक वेबसाइट यह निर्धारित कर सकती है कि उसका डोमेन उपयोगकर्ता की आईटीपी सूची में मौजूद है या नहीं; यह इस प्रक्रिया को दोहरा सकता है और किसी भी डोमेन के लिए आईटीपी स्थिति प्रकट कर सकता है।"

Google और Apple इस बात को लेकर असमंजस में हैं कि उपयोगकर्ताओं को क्रॉस-साइट ट्रैकिंग से कैसे बचाया जाए। Apple ने 2017 में macOS और iOS के लिए Safari में ITP पेश किया, और जबकि Chrome की डेस्कटॉप पर बड़ी हिस्सेदारी है, कथित तौर पर Apple के बदलावों से विज्ञापन-तकनीक कंपनियों और प्रकाशकों को नुकसान हुआ है.

विलेंडर हाल ही में प्रकाश डाला गया सफ़ारी, फ़ायरफ़ॉक्स, माइक्रोसॉफ्ट के क्रोमियम-आधारित एज और ब्रेव सभी ने किसी न किसी प्रकार की क्रॉस-साइट ट्रैकिंग रोकथाम लागू की थी, फिर भी Google Chrome ने ऐसा नहीं किया था।

Google के क्रोम के इंजीनियरिंग निदेशक, जस्टिन शुह, जोर देकर कहा गया है कि Apple ने Google द्वारा रिपोर्ट किए गए ITP बग का समाधान नहीं किया है और सुझाव देता है कि यह सुविधा घातक रूप से त्रुटिपूर्ण है क्योंकि यह उन समस्याओं से भी बदतर सुरक्षा और गोपनीयता समस्याएं पैदा करती है जिन्हें संबोधित करने के लिए इसे डिज़ाइन किया गया था।

"यह सफ़ारी के आईटीपी की तुलना में एक बड़ी समस्या है जो ट्रैकिंग के प्रकारों की तुलना में कहीं अधिक गंभीर गोपनीयता कमजोरियों को पेश करती है जिसे इसे कम करना चाहिए। क्रॉस-साइट खोज और संबंधित साइड-चैनल जो इसे उजागर करते हैं, वे भी अपमानजनक सुरक्षा कमजोरियाँ हैं," शुह ने लिखा.

देखना: Google Chrome के लिए आवश्यक सुरक्षा एक्सटेंशन

शुह ने क्रोम के XSS ऑडिटर के साथ समानताएं बताईं, जो एक दशक पुरानी सुरक्षा सुविधा है जो क्रॉस-साइट स्क्रिप्टिंग हमलों का पता लगाती है। गूगल जुलाई में घोषणा की गई कि वह इस सुविधा को हटा देगा आंशिक रूप से क्योंकि इसने कई "क्रॉस-साइट जानकारी लीक" पेश कीं, और Google ने पाया कि "सभी जानकारी लीक को ठीक करना मुश्किल साबित हुआ है"।

"कुछ संदर्भ जोड़ने के लिए, क्रोम के XSS ऑडिटर को साइड-चैनल कमजोरियों के बिल्कुल समान वर्ग को पेश करने के लिए पाया गया था। समस्या की खोज करने वाली टीम के साथ कई बार आगे-पीछे होने के बाद, हमने निर्धारित किया कि यह डिज़ाइन में अंतर्निहित था और हमें कोड को हटाना पड़ा," शुह ने लिखा।