> Forums > Allgemeines Security Forum
Nur in der EU: Safari auf iOS ermöglicht Device Tracking
Erstellt
 Apr. '24 |
letzte Antwort
Noch keine
|
Antworten
Noch keine
|
Aufrufe
24 |
0
„Gefällt mir“ |
Abos
Noch keine |
|
Sa., 27. April, 2024 um 16:19
#1
Auch im Inkognito-Modus bleibt ein iPhone auf einer entsprechend präparierten Webseite identifizierbar. Verantwortlich ist ein neues URI-Schema für alternative App-Stores. Der iOS-Entwickler Mysk hat ein Video veröffentlicht, in dem er die Möglichkeit des Cross-Site-Trackings von iOS-Geräten in der EU über den Safari-Browser demonstriert. Verantwortlich dafür soll ein neues URI-Schema sein, das die Installation von alternativen App-Stores von einer Webseite ermöglicht. Safari führt auch dann Marketplace Kit aus, wenn die Webseite gar nicht zu dem App-Store gehört. <div class="youtube-container"><div class="youtube-player" data-id="aISz4ITI710"></div></div> <script>function labnolThumb(e){return'<img class="youtube-thumb" src="//raptor.ress.at/yt_perview/'+e+'/hqdefault.jpg"><div class="play-button"></div>'}function labnolIframe(){var e=document.createElement("iframe");e.setAttribute("src","//www.youtube-nocookie.com/embed/"+this.parentNode.dataset.id+"?autoplay=1&autohide=2&border=0&wmode=opaque&enablejsapi=1&controls=1&showinfo=0");e.setAttribute("frameborder","0");e.setAttribute("id","youtube-iframe");e.setAttribute("allowfullscreen","1");this.parentNode.replaceChild(e,this)}(function(){var players=document.getElementsByClassName("youtube-player");Array.prototype.forEach.call(players,function(player){var div=document.createElement("div");div.innerHTML=labnolThumb(player.dataset.id);div.onclick=labnolIframe;player.appendChild(div)})})()</script> Nur zehn Zeilen Code sorgen dafür, dass Marketplace Kit im Anschluss versucht, einen alternativen App-Store zu downloaden. Dies scheitert zwar bereits an der Autorisierung und wird mit HTTP-Code 500 "Internal Server Error" quittiert, im POST-Request von Safari ist aber eine eindeutig identifizierbare Client-Id enthalten. Solange die Attribute "adpURL" und "storeAccountName" einem zugelassenen Marktplatz entsprechen, schickt Marketplace Kit die besagte Client-Id ohne weitere Autorisierung. Auch JWT-Tokens würden laut Mysk nicht validiert und weitergegeben. C&M News: https://ress.at/-news27042024161957.html |
|
> Forums > Allgemeines Security Forum
Du hast bereits für diesen
Post abgestimmt...
;-)
https://t.ress.at/m3BZn/
Ähnliche Themen:
© by Ress Design Group, 2001 - 2024
