> Forums > Allgemeines Security Forum

Nur in der EU: Safari auf iOS ermöglicht Device Tracking

schaf Sa., 27. April, 2024 um 16:19 #1

Auch im Inkognito-Modus bleibt ein iPhone auf einer entsprechend präparierten Webseite identifizierbar. Verantwortlich ist ein neues URI-Schema für alternative App-Stores.



Der iOS-Entwickler Mysk hat ein Video veröffentlicht, in dem er die Möglichkeit des Cross-Site-Trackings von iOS-Geräten in der EU über den Safari-Browser demonstriert. Verantwortlich dafür soll ein neues URI-Schema sein, das die Installation von alternativen App-Stores von einer Webseite ermöglicht. Safari führt auch dann Marketplace Kit aus, wenn die Webseite gar nicht zu dem App-Store gehört.



Nur zehn Zeilen Code sorgen dafür, dass Marketplace Kit im Anschluss versucht, einen alternativen App-Store zu downloaden. Dies scheitert zwar bereits an der Autorisierung und wird mit HTTP-Code 500 "Internal Server Error" quittiert, im POST-Request von Safari ist aber eine eindeutig identifizierbare Client-Id enthalten.

Solange die Attribute "adpURL" und "storeAccountName" einem zugelassenen Marktplatz entsprechen, schickt Marketplace Kit die besagte Client-Id ohne weitere Autorisierung. Auch JWT-Tokens würden laut Mysk nicht validiert und weitergegeben.





C&M News: https://ress.at/-news27042024161957.html
> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post angestimmt...

;-)



Logo https://t.ress.at/m3BZn/


Ähnliche Themen:
Apples Spotlight in OS X Yosemite nicht mehr "spionieren" lassen

"'World of Warcraft' hat wohl mein Leben gerettet"

"123456": Die beliebtesten Passwörter der Welt sind immer noch schrecklich unsicher

"Active Listening" schürt Gerüchte, dass Smartphones für Werbezwecke belauschen

"Adonis Fiasko "- Innenministerium hält an Digitalfunknetz fest

"Air-fi": Forscher machen Arbeitsspeicher zu "WLAN-Karte", um Offline-PCs anzugreifen

"Aliens: Fireteam": Neue Informationen zum kommenden Xenomorph-Shooter






© by Ress Design Group, 2001 - 2024

Top