82 подписчика
В iOS 16, iPadOS 16 и macOS Ventura появится новый режим защиты пользователя от внешних атак под названием Режим блокировки (Lockdown mode). Подробно о нем мы писали вот здесь.
Одним из интересных моментов в нем является отключение ряда web-технологий, включая JavaScript JIT, а также...
— WebAssembly
— MP3 Playback
— MathML
— Gamepad API
— Web Audio API
— WebGL
— JPEG 2000
— Speech Recognition API
— MediaDevices.getUserMedia()
— RTCDataChannel
— PDF Viewer
— SVG Fonts
С точки зрения Apple это усилит защиту на устройстве, однако несет в себе другую угрозу, обоснованно считает Джон Озби из компании Cryptee. По его словам, можно буквально за пять минут в сайт добавить код, который будет определять когда человек заходит с устройства в Режиме блокировке. Самый простой вариант — добавить проверку на загрузку кастомных шрифтов. Если браузер пользователя их загрузить не может, с большой долей вероятности он с устройством в режиме Блокировке. И вот у нас уже есть IP-адрес этого человека. Дальше с этой информацией можно поступать по-разному.
Например, в каком-нибудь тоталитарном государстве, контролирующем основные Интернет-площадки, можно добавить такой код и вести мониторинг пользователей, опасающихся взлома. И даже создать их базе. А как любят говорить некоторые представители правоохранительных органов: вам что, есть что скрывать?
Иными словами, вопросики, вопросики...
P.S. Если вы уже поставили себе на устройство бета-версию iOS 16, iPadOS 16 или macOS Ventura, то можете активировать режим блокировки и проверить увидят ли это где-то извне. Для этого достаточно зайти на тестовый сайт: beta.crypt.ee/ios-lockdown-mode-test
1 минута
26 августа 2022