Uma preocupação séria surgiu para os usuários de iPhone na União Europeia, pois uma falha recém-descoberta no navegador Safari da Apple tem o potencial de expô-los a rastreamento e atividades maliciosas.
Em termos mais simples, um esquema de URI é um conjunto de regras que define como os endereços são estruturados e interpretados para acessar recursos na web.
A vulnerabilidade reside no fato de que aplicativos de mercado de terceiros podem explorar essa falha, representando um risco significativo para a privacidade e segurança dos usuários.
Como resultado, os usuários são aconselhados a ter cautela ao navegar na internet e baixar aplicativos até que uma correção seja disponibilizada.
Um navegador alternativo digno de nota é o Brave. Em testes conduzidos por especialistas em segurança cibernética, o Brave se destacou ao bloquear tentativas desses ataques maliciosos.
Essa vulnerabilidade decorre de uma implementação específica projetada para cumprir a Lei do Mercado Digital Europeu (DMA), que exige que os usuários possam baixar e instalar aplicativos nos sites dos desenvolvedores, e não apenas na Apple App Store.
Entendendo a Falha
A vulnerabilidade envolve um novo esquema de URI introduzido no iOS 17.4, chamado marketplace-kit, que permite a instalação de aplicativos de mercado de terceiros diretamente de sites através do Safari.
Quando um usuário clica em um botão em um site que aciona esse esquema de URI, ele inicia um processo gerenciado pelo MarketplaceKit da Apple.
Esse processo se comunica com os servidores de backend do mercado para gerenciar a instalação do aplicativo.
No entanto, o problema crítico surge porque o processo do MarketplaceKit envia um identificador único client_id para o backend do mercado.
O relatório afirma que esse identificador facilita o processo de instalação, mas também pode ser mal utilizado para rastrear o usuário em diferentes sites.
Um problema que agrava o problema é que o identificador é transmitido discretamente, sem o conhecimento explícito do usuário, e o processo de instalação não informa o usuário se falhar devido a problemas de rede ou outros erros.
Essa falha é particularmente preocupante porque pode ser explorada por qualquer site, não apenas os sites de mercado pretendidos.
Atacantes maliciosos podem potencialmente criar sites que imitam marketplaces legítimos e enganar os usuários para clicar em botões que ativam o esquema de URI marketplace-kit.
Isso exporia os usuários a potenciais violações de privacidade e a uma série de riscos de segurança, incluindo a instalação de software malicioso.
Medidas
A Apple afirmou que a introdução do esquema de URI marketplace-kit é uma medida de segurança destinada a cumprir o DMA, enquanto ainda protege os usuários, exigindo um clique físico para iniciar o processo de instalação.
Em resposta a essas descobertas, especialistas em segurança digital estão instando a Apple a revisitar a implementação do esquema de URI marketplace-kit para aprimorar a privacidade e segurança dos usuários.
À medida que essa situação se desenvolve, os usuários de iPhone da UE são lembrados de permanecer vigilantes e considerar as implicações de segurança ao instalar aplicativos por meio de canais novos e potencialmente não verificados.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
