Un site Web de preuve de concept révèle qu'un défaut de conception du « mode verrouillage » d'iOS 16 permet aux sites Web d'identifier les utilisateurs qui ont activé la fonctionnalité. Bien que le mode de verrouillage garantisse la sécurité des utilisateurs, il mettra en péril leur vie privée.
Pour protéger les utilisateurs qui sont la cible de logiciels espions sophistiqués comme les représentants du gouvernement, les journalistes et les militants des droits de l'homme, Apple a introduit le « Mode de verrouillage » dans les prochaines mises à jour iOS 16, iPadOS 16 et macOS Ventura. Appelée mode de protection « extrême », la fonctionnalité activera certaines fonctionnalités lorsqu'elle sera activée, comme la désactivation des images et des liens dans l'application Messages, la compilation JavaScript, les services Apple et autres.
Apprendre encore plus:Google permet aux annonceurs de prendre vos empreintes digitales pour un suivi encore meilleur
Le mode de verrouillage désactive une série de fonctionnalités qui permettent aux sites Web de prendre les empreintes digitales des utilisateurs.
Entreprise axée sur la confidentialité, Cryptee a créé un site Web de preuve de concept qui détecte si la fonction de mode de verrouillage d'un utilisateur est activée ou désactivée. John Ozbay, PDG de la société et militant pour la protection de la vie privée, a expliqué à Carte mère que le nouveau mode de confidentialité désactive certaines fonctionnalités telles que les polices personnalisées qui permettent aux sites Web de prendre les empreintes digitales des utilisateurs qui choisissent ce mode.
"Disons que vous êtes en Chine et que vous utilisez le mode de verrouillage. Désormais, n'importe quel site Web que vous visitez peut détecter efficacement que vous utilisez le mode de verrouillage, il a également votre adresse IP. Ils seront donc en mesure d'identifier que l'utilisateur avec cette adresse IP utilise le mode de verrouillage", a déclaré Ozbay lors d'un appel. "C'est un compromis entre sécurité et confidentialité. [Apple] a choisi la sécurité."
Ozbay a également déclaré qu'il leur était très facile de détecter les utilisateurs qui avaient activé la fonctionnalité car il s'agit d'un défaut de conception et non d'un bug. Un employé d’Apple a également corroboré les conclusions de Cryptee.
« les polices Web sont désactivées intentionnellement pour supprimer l'analyse des polices de la surface d'attaque Web disponible » et que « les attaques par points d'eau font partie de notre modèle de menace, donc je ne suis pas sûr qu'il serait logique d'avoir des exceptions de polices Web par site ». (Les attaques de point d'eau sont des exploits dans lesquels des pirates informatiques attirent une victime vers un site Web connu où ils ont injecté un logiciel malveillant, ou vers une copie d'un site Web connu qui diffuse des logiciels malveillants.)
Le rapportconclutque prendre les empreintes digitales des utilisateurs et trouver leurs adresses IP via le nouveau mode équivaut à peindre une cible massive sur le dos des utilisateurs les plus vulnérables, et la seule façon de limiter la visibilité des utilisateurs en ligne serait que tout le monde active le mode de verrouillage et se fonde dans la foule.
"En ce qui concerne les empreintes digitales, c'est malheureusement un compromis auquel nous devons toujours faire face. La même chose est vraie pour Tor et le navigateur Tor : ils font des efforts considérables pour réduire toute capacité d'empreintes digitales, mais vous finissez par vous démarquer parce que vous êtes celui avec les empreintes digitales les moins traçables", a déclaré à mère Ryan Stortz, un chercheur indépendant en sécurité qui a étudié iOS.