Uma falha descoberta na Retransmissão Privada (Private Relay), função recém-lançada do iCloud+, está expondo os verdadeiros endereços de IP de usuários. Tal como detalhado pelo pesquisador e desenvolvedor Sergey Mostsevenko, a vulnerabilidade está na API1Application programming interface, ou interface de programação de aplicações. WebRTC.
O Private Relay, na teoria, deveria mascarar informações sensíveis, como endereços de IP e localizações dos usuários a fim de coibir o rastreamento de dados e comportamento de uso. Seu objetivo é justamente oferecer melhor privacidade e anonimato, mas, na prática, não é isso que está acontecendo.
Segundo Mostsevenko, o serviço depende da WebRTC para configurar as comunicações entre os servidores com a ajuda da ICE2Interactive connectivity establishment, ou estabelecimento de conectividade interativa.3 — isto é, a técnica para estabelecer uma conexão peer-to-peer entre dois dispositivos.
Como parte desse processo, a API coleta os “candidatos ICE” — potenciais métodos de conexão —, que incluem as várias informações (como endereço IP ou nome de domínio, porta, protocolo e mais) para, posteriormente, retorná-las ao navegador.
No entanto, Mostsevenko descobriu que o Safari está passando esses “candidatos ICE” contendo os endereços IP reais. De acordo com ele, para corrigir essa falha, a Apple precisará modificar seu navegador para que ele de fato roteie todo o tráfego por meio da Retransmissão Privada.
Surpreendentemente, esta não é uma descoberta nova. Um mês atrás, um usuário do Reddit revelou a mesma falha no serviço. A FingerprintJS, empresa focada em encontrar vulnerabilidades, já avisou a Apple sobre a vulnerabilidade, que a corrigiu na última versão beta do macOS Monterey 12. No entanto, no iOS 15, ela ainda não foi consertada.
Vale lembrar que, antes mesmo de lançar a versão final do sistema, a Apple anunciou que lançaria o recurso em beta, justamente para identificar e corrigir problemas; isso, provavelmente, deverá acontecer muito em breve.
via AppleInsider
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.
- 2
- 3