更多

    Google 報告指 Safari 保護私隱功能 ITP 存在漏洞

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 承認已停止發售 Pixel 3a

    Google 正式承認當售清存貨之後,就會停售 Pixel 3a 。現時美國 Google Store 已經顯示沒有存貨,但台灣方面就無論 Pixel 3a 還是屏幕較大的 Pixel 3a XL 也仍然有售。

    Thunderbolt 4 下周發表 支援線材已在 Apple Store 有售!?

    Thunderbolt 3 介面推出近 10 年,隨著 Intel 去年開放 Thunderbolt 協定專利、 USB Promoter Group 宣布推出 USB4 規格, Intel 也準備在下星期四 7 月 9 日召開媒體說明會,公布有關 Thunderbolt 4 的最新技術和市場布局。不過據聞 USB Promoter Group 成員之一的 Apple 可能已經悄悄地在 Apple Store 上推出對應 Thunderbolt 4 的線材。

    Apple Arcade 改變策略挽留玩家 Apple 終止部分遊戲開發合約

    Apple 去年推出一系列訂閱服務,希望將公司盈利重心由售賣硬件轉為提供內容服務。可惜似乎在各方面都踫壁,需要改變營運策略。而最近傳出「被開刀」的,就是遊戲訂閱服務 Apple Arcade 。據知情人士透露, Apple 在 4 月中的電話會議上向部分遊戲開發商提出終止現有遊戲的開發合約,轉而尋求更能吸引訂戶持續玩下去的遊戲作品。

    Google 資訊保安工程小組昨日發表報告,指 Apple 在 2017 年在 Safari 上推出的保護私隱功能 ITP ( Intelligent Tracking Prevention ,智能防止追踪)存在漏洞,有漏洞個人資料的可能性。 Apple 去年 12 月曾發表網誌,感謝 Google 提供有關惡意利用 ITP 來追踪用戶的報告,相信所指的就是昨日公開的報告。

    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。
    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。

    ITP 是 Apple 在 2017 年 macOS 更新時引入 Safari 的私隱保護功能,用來限制以「第三方 Cookie 」來進行跨網追踪。所謂第三方 Cookie ,簡單來說就是瀏覽 A 網站時會留下 B 網站的 Cookie ,做法是 A 網站嵌入了來自 B 網絡服務的 Javascript 程式,該些程式會追踪用戶在源網站的行為和瀏覽紀錄,以 Cookie 紀錄下來。用來進行如用戶行為調查、針對性廣告等。常見的第三方 Cookie 就有廣告平台、 Amazon 和 Facebook 等 SDK 。

    Safari 和 Firefox 都早已禁止了這種第三方 Cookie ,而 Google 也在上月公布 Chrome 會在兩年內逐步取消對第三方 Cookie 的支援。而今次 Google 報告指出 Safari 的 ITP 不單無法阻止惡意網站追踪用戶,甚至反而可能洩漏用戶瀏覽紀錄!

    報告指出五種利用 ITP 漏洞可採取的攻擊:

    1. 披露 ITP 清單中的網域;
    2. 識別出個別到訪過的網站;
    3. 透過 ITP pinning 建立持續追踪指紋;
    4. 將網域強制加入 ITP 清單;
    5. 透過 ITP 進行跨網站搜尋攻擊;

    Google 的 Chrome 的保安與私隱的工程總監 Justin Schuh 指 Apple 雖然已經修補了漏洞,不過應該沒有根治問題。因為與 ITP 同類限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能確認得到,一定要刪除有問題的程式碼才能解決得到,但那對 ITP 來說那是重要的部分,要看 Apple 打算怎樣解決問題。

    相關文章