Сторонние магазины приложений отслеживают пользователей Apple в ЕС

В ответ на европейское антимонопольное законодательство, Apple разрешила установку сторонних магазинов приложений на iPhone, что привела к уязвимостям в браузере Safari, которые подвергают пользователей риску отслеживания в интернете.

Разработчики Талал Хадж Бакри и Томми Миск выявили недостатки в безопасности и конфиденциальности при реализации функции на iOS. Было обнаружено, что механизм URI в Safari позволяет сторонним магазинам приложений отслеживать активность пользователей в интернете посредством специального запроса marketplace-kit:, который активируется даже в режиме инкогнито. Это происходит из-за отсутствия проверки источника веб-сайта и непроверенных JSON Web Tokens, что открывает возможности для атак.

Схема URI — это способ определения того, как обрабатывается конкретный сетевой запрос. Веб-сайт, предлагающий альтернативный магазин приложений, может включать кнопку, которая при нажатии в Safari запускает запрос marketplace-kit:, обрабатываемый процессом MarketplaceKit на iPhone пользователя в ЕС. Затем устанавливается связь с серверами одобренного магазина для завершения установки приложения магазина на смартфон.

Проблема в том, что любой сайт может вызвать marketplace-kit:. На устройствах iOS 17.4 в ЕС это приведет к тому, что Safari отправит уникальный идентификатор каждого пользователя на серверы одобренной торговой площадки, раскрывая тот факт, что пользователь только что посещал сайт. Серверы магазина могут отклонить запрос, который также может включать пользовательскую полезную нагрузку, передавая дополнительную информацию о пользователе в альтернативное хранилище.

Более того, отсутствие привязки сертификатов усугубляет ситуацию, позволяя перехватывать данные в процессе обмена данными с MarketplaceKit. Исследователи подчеркивают, что такие уязвимости становятся возможными благодаря стремлению Apple контролировать процесс использования сторонних магазинов, что в итоге подрывает приватность пользователей.

Бакри и Миск рекомендуют пользователям в Европе использовать браузер Brave вместо Safari, так как он проверяет происхождение веб-сайтов и предотвращает отслеживание. В своем отчете специалисты указывают, что проблемы конфиденциальности возникли из-за нежелания Apple должным образом реализовать безопасное внедрение сторонних магазинов приложений, что превратило заботу компании о безопасности в самоисполняющееся пророчество.

Apple пока не прокомментировала обвинения. Ситуация осложняется тем, что множество магазинов приложений, которые теперь могут быть использованы в Европе, включая не только официальные площадки, но и те, что доступны после джейлбрейка устройств, находятся под вопросом их способности защищать конфиденциальность пользователей.

В соответствии с Европейским актом о цифровых рынках (Digital Markets Act, DMA), Apple разрешила использование сторонних магазинов приложений или установку приложений в обход App Store.

Согласно закону:

• Apple должна разрешить разработчикам использовать платформы сторонних платежей;
• Пользователи должны иметь возможность устанавливать приложения без использования App Store от Apple;
• iMessage должен взаимодействовать с другими мессенджерами.

Помимо магазинов приложений, Apple также внесла кардинальные изменения в работу веб-браузеров на iPhone для пользователей в ЕС. В iOS 17.4 добавлена возможность установить предпочтительный браузер по умолчанию при первом запуске Safari, а производители браузеров смогут использовать другие браузерные движки.