Advarer: Stop med at bruge Safari på iPhone
Efter pres fra EU har Apple for nylig introduceret ændringer i iOS (og snart også i iPad OS), der gør det muligt for brugere i EU at downloade og installere apps fra alternative app-butikker (udover Apples App Store).
Men Talal Haj Bakry og Tommy Mysk – to it-sikkerhedseksperter – oplyser i et blogindlæg, at deres test viser, at Apples løsning har ”katastrofale fejl i sikkerheds- og privatlivsindstillinger”.
Når brugere ønsker at downloade en alternativ appbutik, foregår det via udbyderens hjemmeside, som giver adgang til den pågældende appbutikk via et link (URI-skema) på sin hjemmeside. Når iPhone-brugere, der bruger Safari-browseren klikker på linket, kontakter linket Apples nye MarketplaceKit-API, som åbner et popupvindue, hvor brugeren kan vælge at installere appbutikken på sin iPhone. Ifølge Apple skal links gå gennem Apples API for at forhindre utilsigtede installationer af potentielt skadelige appbutikker.
Se også: iOS 17.4 ruller ud – understøtter nu alternative appbutikker
Flere sikkerhedsbrister i Apples løsning
Test udført af sikkerhedseksperterne viser, at Apples løsning indeholder alvorlige sikkerhedsbrister. For det første undersøger Safari ikke hjemmesiden bag linket eller selve apppakken inden installation. Dette åbner mulighed for sporing på tværs af hjemmesider.
For det andet accepterer MarketplaceKit alle parametre i linket. Det betyder, at den ikke validerer digitale signaturer. Det kan udnyttes til at manipulere data og angribe enten MarketplaceKit eller appbutikken, lyder det.
For det tredje mangler der certifikatvalidering i processen. Dette gør det muligt at andre at opsnappe og manipulere kommunikation mellem MarketplaceKit og appbutikken.
De to eksperter, der står bag afsløringen, mener, at disse sikkerhedsbrister rejser alvorlige tvivl om hele Apples tilgang til at tillade apps via alternative appbutikker.
Se også: Brugte iPhones med garanti, reklamations- og returret
Brug en anden browser
Lige nu er det kun browsere godkendt af Apple, der kan bruges til at aktivere links, der bruger Apples MarketplaceKit-API til at åbne en alternativ appbutik. Det er kun følgende tre browsere, der er godkendt: Brave, Ecosia og Safari.
Sikkerhedsforskerne anbefaler, at brugere, der vil hente apps via alternative appbutikker, bruger Brave-browseren. Den har nemlig indbygget sikkerhedsfunktioner, der forhindrer de kritiske fejl, som har frit spil i Safari lige nu.