Uma falha descoberta no novo iCloud da Apple O Private Relay anula a razão de ser do recurso ao expor o endereço IP de um usuário quando certas condições são atendidas.
Conforme detalhado pelo pesquisador e desenvolvedor Sergey Mostsevenko em uma postagem no blog esta semana, uma falha no manuseio do WebRTC por Private Relay pode”vazar”o endereço IP real de um usuário. Uma prova de conceito está disponível no site da FingerprintJS.
Anunciado na Conferência Mundial de Desenvolvedores em junho, o Private Relay promete evitar o rastreamento de terceiros de endereços IP, localização do usuário e outros detalhes, roteando solicitações de Internet por meio de dois relés separados operados por duas entidades diferentes. As conexões de Internet configuradas para passar pelo Private Relay usam endereços IP anônimos que mapeiam para a região de um usuário, mas não revelam sua localização ou identidade exata, diz a Apple.
Em teoria, os sites deveriam ver apenas o endereço IP de um proxy de saída, mas o IP real de um usuário, que é retido em certos cenários de comunicação WebRTC, pode ser descoberto com algum código inteligente.
Conforme explicado por Mostsevenko, a API WebRTC é usada para facilitar as comunicações diretas pela web sem a necessidade de um servidor intermediário. Implementado na maioria dos navegadores, WebRTC depende da estrutura de estabelecimento de conectividade interativa (ICE) para conectar dois usuários. Um navegador coleta candidatos ICE-métodos potenciais de conexão-para localizar e estabelecer um link com um segundo navegador.
A vulnerabilidade está no Server Reflexive Candidate, um candidato usado por utilitários de travessia de sessão para servidores NAT (STUN) para conectar dispositivos atrás de um NAT. Tradução de endereços de rede (NAT) é um protocolo que permite que vários dispositivos acessem a Internet por meio de um único endereço IP. É importante ressaltar que os servidores STUN compartilham o endereço IP público e o número da porta de um usuário.
“Como o Safari não faz proxy de solicitações STUN por meio do iCloud Private Relay, os servidores STUN sabem seu endereço IP real. Isso não é um problema por si só, pois eles não têm nenhuma outra informação; no entanto, o Safari passa Candidatos ICE contendo endereços IP reais para o ambiente JavaScript”, diz Mostsevenko.”Retirar o anonimato de você torna-se uma questão de analisar seu endereço IP real dos candidatos ICE-algo facilmente realizado com um aplicativo da web.”
O endereço IP de um usuário pode ser obtido fazendo um objeto de conexão com um servidor STUN, coletando os candidatos ICE e analisando os valores, de acordo com o pesquisador.
O Hacker News relatou sobre a descoberta do FingerprintJS na sexta-feira .
O FingerprintJS relatou a falha para a Apple e a empresa lançou uma correção no último beta do macOS Monterey lançado esta semana. A vulnerabilidade permanece sem patch no iOS 15.
