image

Onderzoekers: Safari-gebruikers via uniek device ID op internet te volgen

dinsdag 30 april 2024, 15:57 door Redactie, 0 reacties

Apple maakt het voor malafide appstores mogelijk om Europese Safari-gebruikers via een uniek device ID op internet te volgen, zo waarschuwen onderzoekers. Met de lancering van iOS 17.4 heeft Apple een nieuw 'URI scheme' geïntroduceerd waarmee Europese gebruikers alternatieve appstores kunnen downloaden en installeren vanaf een website. Hiervoor moeten alternatieve appstores aan hun website het URI scheme toevoegen.

In het geval van Safari blijkt de browser niet te controleren of het gebruikte URI scheme wel aan de juiste website is toegevoegd. Daardoor is het mogelijk om het URI scheme toe te voegen aan een website die niet van de betreffende alternatieve appstore is. Safari zal in dit geval via de URI toch informatie over het toestel van de gebruiker naar deze website sturen.

Meerdere websites kunnen dit "MarketplaceKit-proces" via de URI aanroepen, waarbij steeds hetzelfde unieke device ID wordt verstuurd. "Een malafide alternatieve marktplaats kan deze truc gebruiken om gebruikers over meerdere websites te volgen", aldus onderzoekers Talal Haj Bakry en Tommy Mysk. In het geval de Brave-browser wordt gebruikt is deze vorm van tracking niet mogelijk, omdat Brave het betreffende request blokkeert.

"Safari zou gebruikers tegen cross-site tracking moeten beschermen. Het zou moeten doen wat Brave doet en de origin van de website moeten controleren en vergelijken met de opgegeven URL", concluderen de onderzoekers. "Het zou het URI scheme niet moeten aanroepen als de URL's niet overeenkomen." Afsluitend adviseren de onderzoekers het gebruik van Brave, omdat dit de enige geautoriseerde browser is die dit soort cross-site tracking blokkeert.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.