Apple biedt gebruikers met een iCloud Plus-abonnement een "Private Relay" om het ip-adres te verbergen, maar een beveiligingsonderzoeker claimt nu dat de dienst het ip-adres van gebruikers lekt. ICloud Private Relay is beschikbaar als bèta in iOS 15. De dienst zorgt ervoor dat requests van Safari-gebruikers via twee gescheiden relays worden verstuurd.
Het ip-adres van de gebruiker is alleen zichtbaar voor de netwerkprovider en Apple. Het verkeer van gebruikers, zoals de te bezoeken website, wordt versleuteld naar een tweede relay gestuurd. Deze relay genereert een tijdelijk ip-adres en ontsleutelt de naam van de website die de gebruiker wil bezoeken en maakt verbinding. De website ziet zo alleen het tijdelijke ip-adres.
Beveiligingsonderzoeker Sergey Mostsevenko van FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan, ontdekte dat het toch mogelijk is om het echte ip-adres van gebruikers te achterhalen. Hiervoor wordt er gebruik gemaakt van WebRTC. Dit is een door Google ontwikkeld opensourceproject dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video.
WebRTC maakt gebruik van het ICE (interactive connectivity establishment)-framework. Het laat twee browsers elkaar vinden en verbinding met elkaar maken voor peer-to-peer-communicatie. Wanneer de browser met de andere browser verbinding wil maken verzamelt het allerlei informatie over de hosts, zoals ip-adres, domeinnaam, poort, protocol en andere data. Deze informatie wordt een ICE candidate genoemd.
Systemen binnen een netwerk dat van NAT (network address translation) gebruikmaakt hebben geen publiek ip-adres en zijn daardoor niet direct vanaf het internet te benaderen. Het STUN (session traversal utilities for NAT)-protocol werd bedacht om dit probleem op te lossen. Een STUN-server geeft het publieke ip-adres en poortnummer van de gebruiker door.
Een ICE candidate kan de informatie van de STUN-server bevatten, waarmee de andere browser via het betreffende ip-adres en poortnummer verbinding kan maken. STUN-requests gaan niet door de iCloud Private Relay, zo laat Mostsevenko weten. "Dit is op zich geen probleem, aangezien ze geen andere informatie hebben. Safari stuurt de ICE candidates met echte ip-adressen echter naar de JavaScript-omgeving", merkt de onderzoeker op. Deze informatie is eenvoudig via een een webapplicatie uit te lezen.
Als oplossing adviseert Mostsevenko het gebruik van een vpn in plaats van iCloud Private Relay, aangezien dan al het verkeer via een proxy loopt, ook de STUN-requests en ander browserverkeer. Een andere optie is het uitschakelen van JavaScript in Safari. Apple is over het probleem ingelicht. In de bètaversie van macOS Monterey is het lek al verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.