I 2017 innførte Apple en ny personvernfunksjonalitet i nettleseren Safari som skal hindre sporing av brukerne på tvers av nettsteder, kalt Intelligent Tracking Prevention (ITP). Nå viser det seg at denne kommer med sine egne problemer. Det skriver blant andre 9to5mac.
Sikkerhetsforskere hos Google har identifisert flere personvern- og sikkerhetsmessige problemer med måten ITP er designet på, som kan utsette brukerne for betydelig personvernrisiko.
Avslører nettvaner
Med andre ord kommer funksjonaliteten med mange av de problemene som den er ment å løse. Forskerne har publisert et teknisk dokument om funnene som kan hentes ned fra denne siden.
ITP fungerer i grove trekk ved å benytte en maskinlæringsmodell til å avgjøre hvilke domener som har lov til å bruke informasjonskapsler eller skript fra tredjeparter til å spore brukeren på tvers av ulike nettsider. Aktører som har nettsteder som brukerne ofte besøker har mulighet til å spore brukerne også på andre nettsteder som integrerer disse aktørenes innhold.
Problemet ligger ifølge Google-forskerne i at ITP-listen i seg selv «implisitt» lagrer informasjon om nettsidene som brukerne besøker, som igjen legger til rette for avdekking av sensitive, private data om brukerens nettvaner.
Skal ikke ha blitt fikset
Dette kan igjen blant annet brukes til å etablere permanente fingeravtrykk som følger brukeren på tvers av nettsider. Sårbarhetene åpner også for lekking av søkeresultater, identifisering av spesifikke nettsider besøkt av brukeren.
Google gjorde Apple klar over svakhetene i ITP-systemet allerede i august i fjor, og Apple hevder de har fikset problemene i en oppdatering som ble sluppet i desember.
– Vi ønsker å takke Google for å ha sendt oss en rapport hvor de utforsker både muligheten til å oppdage når webinnhold behandles forskjellig av sporingbeskyttelse, og de negative tingene som er mulig med slik beskyttelse, skriver Apple.
Sjefsingeniør hos Google Chrome Justin Schuh la imidlertid nylig ut en Twitter-melding hvor han hevder at problemene som Google rapporterte ikke har blitt fikset.
Alle detaljene finner du i det tekniske dokumentet.
