Keamanan cyber (terbuka di tab baru) peneliti telah menandai potensi kerentanan zero-day di Apple baru Relai Pribadi iCloud (terbuka di tab baru) layanan untuk iOS 15 (terbuka di tab baru)yang dapat membocorkan alamat IP asli pengguna.
Ditawarkan sebagai upgrade gratis yang disediakan untuk membayar pengguna iCloud (terbuka di tab baru) dalam pembaruan sistem operasi seluler terbaru Apple, iCloud Private Relay memungkinkan pengguna menyembunyikan alamat IP dan permintaan DNS mereka dari situs web dan penyedia layanan jaringan.
Namun, Sergey Mostsevenko, seorang peneliti dan pengembang di vendor keamanan FingerprintJS, menemukan bahwa layanan tersebut membocorkan alamat IP melalui WebRTC API.
Di sebuah pos (terbuka di tab baru) merinci kerentanan, Mostsevenko menunjukkan bahwa kebocoran ini memungkinkan situs web untuk menjalin komunikasi langsung dengan pengunjung mereka, mengalahkan tujuan penganoniman dari layanan relai pribadi.
Layanan bocor
Layanan Apple baru mirip dengan a VPN (terbuka di tab baru), dalam hal itu mengenkripsi lalu lintas penjelajahan web dan mengirimkannya melalui relai untuk mengaburkan kontennya, termasuk lokasi pengguna dan alamat IP. Saat menjelajahi web melalui layanan, situs web yang dikunjungi hanya akan melihat alamat IP proksi yang diberikan oleh iCloud.
Menjelaskan temuan Mostsevenko, Swig Harian mengatakan bahwa layanan tersebut bergantung pada WebRTC untuk mengatur komunikasi dengan bantuan kerangka kerja ICE (interaktif konektivitas pembentukan).
Sebagai bagian dari proses itu, ia mengumpulkan apa yang dikenal sebagai kandidat ICE, yang mencakup berbagai informasi seperti alamat IP atau nama domain, port, protokol, dan informasi lainnya, yang kemudian dikembalikan ke browser.
Namun Mostsevenko menemukan bahwa Apple Peramban web Safari (terbuka di tab baru) melewati kandidat ICE yang berisi alamat IP asli.
“Untuk memperbaiki kerentanan ini, Apple perlu memodifikasi Safari sehingga merutekan semua lalu lintas melalui iCloud Private Relay,” simpul Mostsevenko, yang telah melaporkan kerentanan tersebut ke Apple, tetapi belum mendapat tanggapan.
Melalui Swig Harian (terbuka di tab baru)
