นักพัฒนาเตือน กลไก Marketplace บน iOS ผ่าน Safari มีช่องโหว่ความเป็นส่วนตัว

สืบเนื่องจากคดีความผูกขาดการค้าโดย Apple ในพื้นที่สหภาพยุโรป Apple จึงต้องปรับเปลี่ยนการให้บริการมายอมให้ผู้ใช้ iOS สามารถดาวน์โหลดแอปพลิเคชันจากแพลตฟอร์ม Marketplace อื่นๆที่ไม่ใช่ App Store ได้ โดยในการดาวน์โหลดแอปผ่านหน้าเว็บไซต์ iOS จะใช้ API ชื่อว่า MarketplaceKit เพื่อส่งคำขอไปยังแพลตฟอร์มผู้ให้บริการแอป 

ทว่าในช่วงสุดสัปดาห์ที่ผ่านมา คุณ Talal Haj Bakry และ Tommy Mysk นักพัฒนาแอป iOS และนักวิจัยด้านความปลอดภัยได้ออกมาเผยว่ากลไกดังกล่าวมีช่องโหว่ด้านความเป็นส่วนตัวที่จะทำให้แพลตฟอร์มต่างๆสามารถติดตามผู้ใช้งาน iOS ได้

iOS 17.4 เป็นระบบปฏิบัติการซึ่งแอปเปิลได้พัฒนาขึ้นมาตอบสนองต่อกฎหมายของ EU ว่าด้วยการผูกขาดทางการค้า ซึ่งได้ใส่ความสามารถในการดาวน์โหลดแอปพลิเคชันจากแพลตฟอร์ม Marketplace อื่นๆให้ได้ใช้กัน พร้อมทั้งความสามารถในการดาวน์โหลดแอปจากหน้าเว็บไซต์ผ่านเบราว์เซอร์เช่น Safari 

โดยในการดาวน์โหลด Apple มี API เบื้องหลังที่ชื่อว่า MarketplaceKit ซึ่งจะช่วยจัดการขั้นตอนต่างๆ และหากต้องการให้ผู้ใช้ iOS ดาวน์โหลดแอปผ่านหน้าเว็บไซต์ ก็เพียงนำ URI ไปใส่เพื่อเรียกกลไกนี้ให้ทำงานเชื่อมต่อกับเซิฟเวอร์ของ Marketplace ที่ต้องการ ทว่าในการเชื่อมต่อนั้นจะมีการส่งรหัสประจำเครื่องหรือ client_id ไปตรงๆ ทำให้ถ้าต้องการ เว็บไซต์สามารถใช้รหัสประจำเครื่องนี้ติดตามได้ว่าผู้ใช้มีการเข้าเยี่ยมชมเว็บไซต์ (ซึ่งผู้ใช้หลายคนไม่ต้องการให้เว็บไซต์หรือแอปใดๆติดตามตัวตน และสามารถเลือกปิด Cross-site Tracking ได้ใน iOS)

คุณ Talal Haj Bakry และ Tommy Mysk กล่าวว่าการทำงานของ MarketplaceKit นี้มีจุดบอดอยู่ 3 แห่ง ได้แก่

1. การใช้ URI นั้นไม่มีการตรวจสอบที่มาของเว็บไซต์ ทำให้อาจเกิดการทำ Cross-site Tracking ได้
2. MarketplaceKit ไม่มีการตรวจสอบความถูกต้องและปลอดภัยของ JSON Web Tokens (JWT) ที่ส่งไปยังเซิฟเวอร์ ทำให้อาจเปิดช่องให้การโจมตี Injection ทั้งกับขั้นตอนการทำงานของ MarketplaceKit และเซิฟเวอร์ของ Marketplace ที่เชื่อมต่อ
3. ไม่มีขั้นตอน Certificate Pinning ซึ่งจะตรวจสอบและสร้างช่องทางการติดต่อที่ปลอดภัยหลังยืนยันความถูกต้องของใบประกาศ ซึ่งอาจก่อให้เกิดการดักฟังข้อความกลางทาง (Man-in-the-Middle Attack – MitM) โดยคุณ Talal Haj Bakry และ Tommy Mysk กล่าวว่าพวกเขาสามารถตั้ง Endpoint ขึ้นมาจับข้อความที่ส่งออกไปได้จากการทดลอง

อย่างไรก็ตาม การจะทำ Cross-site Tracking หรือติดตามใดๆด้วยข้อมูลที่ MarketplaceKit นี้เปิดเผยนั้น Marketplace ปลายทางจะต้องผ่านการอนุมัติจาก Apple ก่อน ซึ่งแม้จะเป็นข้อจำกัดที่เห็นได้ชัดแต่ก็มีความเป็นไปได้ที่แอปไม่ประสงค์ดีจะสามารถหาทางให้ได้รับการอนุมัติจาก Apple ได้

ปัจจุบัน Marketplace ที่ผ่านการอนุมัติจาก Apple ให้กับผู้ใช้ในยุโรปนั้นยังมีอยู่ไม่มาก ได้แก่ Mobivention App Marketplace สำหรับธุรกิจ B2B, AltStore, Setapp อีกทั้งยังมีรายงานว่า Epic Games ก็มีแผนจะพัฒนา Marketplace ของตัวเองเช่นกัน

การดาวน์โหลดแอปผ่าน Marketplace อื่นๆนั้นเปิดให้บริการในพื้นที่สหภาพยุโรปเท่านั้น เนื่องด้วยเป็นพื้นที่บังคับใช้กฎหมายห้ามการผูกขาดดังกล่าว สำหรับพื้นที่อื่นๆทั่วโลกช่องโหว่นี้ยังไม่มีผลกระทบแต่อย่างใด 

 

ที่มา: Apple’s ‘incredibly private’ Safari is not so private in Europe
Cover Photo: Fujiphilm