9:42
4/3/2010

Appleblog.pl poruszył wczoraj bardzo interesujący temat: brak ochrony prywatności użytkownika w przeglądarce Safari. Nawet, jeśli korzysta się z tzw. “trybu prywatności”, to przeglądarka i tak zrobi “zdjęcie” oglądanym stronom (także tym po https) i wrzuci do katalogu na dysku.

Jak informuje jeden z czytelników Applebloga:

W katalogu ~/Library/Caches/com.apple.Safari/Webpage Previews Safari składuje alternatywną historie przeglądania, złożoną z obrazków, która nie jest czyszczona (jednak w większości przypadków jest czyszczona) przez opcję “wyzeruj Safari”. Lekko straszne.

W naszej opinii, jest to jednocześnie niesamowicie przerażające (think p0rn!) i cholernie użyteczne (think IT forensic). Pytanie, po której stronie szmocy stoimy w danej chwili ;-)

Dalej Appleblog.pl donosi, że Safari przechowuje również adresy stron, które użytkownik usunął z Top Site (katalog: ~/Library/Safari/TopSites.plist) – ten plik z kolei nie jest czyszczony wraz z resetem Safari.

Przegląd drugiego cache'a Safari (fot. Appleblog.pl)

Po scenariusz ataku z wykorzystaniem w/w informacji zapraszamy do artykułu Safari dalej nie choni naszej prywatności. My od siebie dodamy tylko informację, że powyższe nie jest jedynym grzechem przeglądarki od Apple. W ostatnich dwóch tygodniach znaleziono 8 różnych 0day’ów w Safari (na trochę wyższym poziomie niż te ostatnie z FF i Opery)

8 błędów 0day w Safari

Wszystkie sprzedano do Tippingpointowego Zero Day Initiative, które zajmuje się skupowanie 0day’ów wzamian za wyłączność na “dalszą obsługę błedu” i odsprzedaż do producenta dziurawego oprogramowania. Chłopaki z ZDI ocenili zagrożenie na “wysokie“, ponieważ  każdy z 0day’ów pozwala na zdalne wykonanie kodu (czyli ataki typu: drive-by-download).

Błędy 'wysokiego ryzyka' w Safari (fot. zdnet)

Wszystkie błędy zgłosił wushi z team509.

Prywatność użytkownika przeglądarki internetowej

Ten post to dobry pomysł, aby przypomnieć zagrożenia związane z przeglądarkami internetowymi i prywatnością internautów, takie jak ciasteczka flashowe, których nie da się usunąć z poziomu przeglądarki internetowej, a które moga posłużyć do przechowywania identyfikujących nas informacji na dłuuugie lata.

Flash cookies, oraz inne ustawienia przeglądarki mogą także posłużyć do zidentyfikowania ruchu sieciowego użytkownika (pośród milionów połączeń), w konsekwencji czego można nawet poznać nazwisko internauty, który odwiedził daną stronę internetową.

Aktualizacja: 4.03.2010, 18:56
Jak donosi cyberangel1975 w komentarzu poniżej, obrazki są czyszczone wraz z resetem Safari (trzeba zaznaczyć opcję “remove all webpage image previews”). Sprawdziliśmy i potwierdzamy: Safari 4.0.4 wyczyściło katalog ~/Library/Caches/com.apple.Safari/Webpage Previews. Są jednak osoby, które pomimo zaznacznia tej opcji nie są w stanie wyczyścić “screenshotów” stron. Sugerujemy sprawdzić jak jest u Was i dać znać w komentarzach poniżej, z jakiej wersji Safari skorzystaliście.

Reset przeglądarki w każdym razie nie wpłynąl na zawartość pliku TopSites.plist, zawierającego “zablokowane” strony. Argumenty typu “no bo skąd Safari miałoby wiedzieć, że nie chcemy oglądać danej strony” odpieramy jednym słowem: hashowanie.

No i dalej pozostaje 8 0day’ów… ;-)

Przeczytaj także:

12 komentarzy

Dodaj komentarz
  1. Po przeczytaniu tego wpisu cieszę się, że nie korzystam z Safari :D
    Ciekawe, czy ów bug to niedopatrzenie Apple’a, czy działanie celowe?

  2. Pomijając juz takie ewidentne „niedociągnięcia” jakie widać powyżej, uważam że od trybu prywatnego i jego funkcji wymagamy zbyt wiele.
    Jak dla mnie tryb w podstawowej funkcjonalności nie ma zostawiać na wierzchu moich sieciowych podróży, czyli upraszczając historia, ostatnio otwierane strony. Ponieważ wszyscy wiemy, że średnio świadomy użytkownik (mając dostęp do komputera)i tak jest wstanie szpiegować innych i ich działania niezależnie od śmieci jakie zostawia przeglądarka (np. keyloggery, podsłuch itp. itd).

    Natomiast jeśli, ktoś ma wymagania aby przeglądarka nie zostawiała jakichkolwiek śladów pozostaje chyba tylko sandbox typu wirtualna maszyna z włączonym cofaniem zmian na dysku.

    Nie zapominajmy przy tym, że nasze wymagania są nakręcane prze samych producentów przeglądarek „gwarantujących” nam „anonimowość”.

  3. Gorący temat “ochrona prywatności” cieszę się że trafiłem na ten wpis. Od dłuższego czasu obserwuje wzmożone zainteresowanie tym tematem, najczęściej jednak wymienia się Google, Microsoft, o Apple niewiele. Interesuje się tą firmą ze względu na to że chcę kupić “coś” od Apple, ale nie mam zaufania do tej firmy właśnie w sprawach ochrony prywatności. Model sprzedaży i pozyskiwania informacji o klientach też nie jest dla mnie jasny. Mam jednak nadzieję że moje podejrzenia wynikające z niewiedzy się nie potwierdzą i spokojnie będę mógł używać produktów z nadgryzionym jabłuszkiem.

  4. Apple produkuje fajne zabawki, ale nie wiem jak na tym można pracować na dłuższą metę – po prostu w wielu rzeczach nie masz wyboru i korzystasz z jedynego słusznego rozwiązania. Co do tego, czy w sieci są jakieś newsy na temat bezpieczeństwa produktów – spece od marketingu i fanboye dbają, żeby nic się do szerszych kręgów nie przedostało. ;]

  5. @Tomasz Kowalczyk:
    “nie wiem jak na tym można pracować na dłuższą metę”

    Czego nie wiesz?
    Mac to najlepsze co może być ;).
    Czego Ci brakuje?

  6. w panelu “wyzeruj safari” jest m.in. opcja “Usuń wszystkie obrazy podglądu witryny”. jeśli ktoś nie potrafi jej zaznaczyć (nawet jest zaznaczona domyślnie) jest idiotą.
    kolejna niesprawdzona plota i pożywka dla tych co nie lubią Apple.
    @Tomasz Kowalczyk
    fanboje nie muszą o nic dbać, co najwyżej muszą się męczyć z takimi jak Ty, którzy łykają każdy negatywny tekst o Apple tylko dlatego, że to Apple aprawda nie ma znaczenia.

  7. jeśli dobrze pamiętam, na iphonie jest ten sam problem – zrzuty screenów aplikacji i czegokolwiek co się ‘chowa’ przyciskiem home.

    oba te problemy z resztą wzieły się z wodotrysku interfacu jakim jest płynne powiększanie się/chowanie aktualnego ekranu. No i widok Top Sites.

  8. Jak to ktoś kiedyś napisał: “Produkty Apple zostawmy amerykanom.” ;)

  9. to jest jakaś zgroza… dobrze że ja z Chrome korzystam…

  10. To jeszcze gorzej, lepiej przejdź na SW Iron jak już z tym się pożeniłeś. ;]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.