Apple i Google su u ponedeljak zvanično objavili uvođenje nove funkcije koja obaveštava korisnike na iOS-u i Android-u ako se koristi Bluetooth uređaj za praćenje da bi ih prikriveno pratio bez njihovog znanja ili saglasnosti.
„Ovo će pomoći da se ublaži zloupotreba uređaja dizajniranih da pomognu u praćenju stvari“, navele su kompanije u zajedničkom saopštenju, dodajući da je cilj da se pozabavi „potencijalnim rizicima po privatnost i bezbednost korisnika“.
Predlog za rešenje za više platformi prvobitno su predstavila dva tehnološka giganta pre tačno godinu dana.
Mogućnost - nazvana „Detecting Unvanted Location Trackers“ (DULT) dostupna je na Android uređajima koji koriste verzije 6.0 i novijim, i iOS uređajima sa iOS 17.5, koji je zvanično isporučen juče.
Kao deo industrijske specifikacije, Android korisnici će dobiti upozorenje „Tracker koji putuje sa vama“ ako se otkrije da se neidentifikovani Bluetooth uređaj za praćenje tokom vremena kreće zajedno sa njima, bez obzira na platformu sa kojom je uparen. Na iOS-u, korisnici će dobiti poruku „[stavka] pronađena u pokretu sa vama“.
Bez obzira na operativni sistem, korisnici koji dobiju takvo upozorenje imaju opciju da vide identifikator tragača, puštaju zvuk koji će im pomoći da ga lociraju i pristupe uputstvima da ga onemoguće.
„Ova saradnja na više platformi - takođe prva u industriji, koja uključuje doprinos zajednice i industrije - nudi uputstva i najbolje prakse za proizvođače, ako odluče da ugrade neželjene mogućnosti upozorenja za praćenje u svoje proizvode“, kažu kompanije.
Razvoj dolazi kao odgovor na izveštaje da loši akteri koriste tragače poput AirTags-a u zlonamerne ili kriminalne svrhe, koje domaći zlostavljači često zloupotrebljavaju kao podlo sredstvo za praćenje kako bi uhodili svoje mete.
U grupnoj tužbi podnetoj protivApple-a u oktobru 2023. navodi se da su AirTags postale „jedna od najopasnijih i najstrašnijih tehnologija koje koriste uhode“ i da se mogu koristiti za određivanje „informacija o lokaciji u realnom vremenu za praćenje žrtava“.
Prošle godine, grupa istraživača sa Univerziteta Džons Hopkins i Univerziteta u Kaliforniji u San Dijegu, osmislila je kriptografsku šemu koja nudi bolji kompromis između privatnosti korisnika i otkrivanja uhoda putem mehanizma koji se zove multi-diler secret sharing (MDSS).
„MDSS proširuje standardnu deljenje tajnih podataka kako bi prihvatio više dilera sa više tajni, dok se postižu nova svojstva nepovezanosti i ispravnosti više dilera“, rekli su akademici u radu pod naslovom „Praćenje lokacije otporno na zloupotrebe: balansiranje privatnosti i bezbednosti u ekosistemu za pronalaženje van mreže“. "
ISPRAVKA APPLE BACKPORTS ZA CVE-2024-23296#
Najava DULT-a takođe prati Apple-ovu odluku da prebaci ispravku objavljenu u martu 2024. za bezbednosni propust u RTKit operativnom sistemu u realnom vremenu (CVE-2024-23296) na uređaje koji koriste starije verzije iOS-a, iPadOS-a i macOS-a.
Ranjivost, koja omogućava napadaču sa proizvoljnom sposobnošću čitanja i pisanja kernela da zaobiđe zaštitu memorije kernela, našla se pod aktivnom eksploatacijom u divljini, iako su tehničke specifičnosti prirode ovih napada trenutno nepoznate.
Zakrpe za nedostatak su dostupne u sledećim verzijama
- iOS 16.7.8 i iPadOS 16.7.8 - iPhone 8, iPhone 8 Plus, iPhone Xs, iPad 5. generacije, iPad Pro 9,7 inča i iPad Pro 12,9 inča 1. generacije
- macOS Ventura 13.6.7 – Mac računari koji koriste macOS Ventura
Apple-ovo ažuriranje iOS 17.5 takođe otklanja ukupno 15 bezbednosnih propusta, uključujući nedostatke u AppleAVD-u (CVE-2024-27804) i kernelu (CVE-2024-27818) koji se mogu iskoristiti da izazovu neočekivani prekid aplikacije ili proizvoljno izvršenje koda. Iste dve mane su rešene u macOS Sonoma 14.5.