Firmie FingerprintJS udało się ustalić, że błąd w Safari 15 może zdradzić naszą aktywność przeglądania, a także ujawnić niektóre dane osobowe dołączone do konta Google. Luka wynika z problemu z implementacją przez Apple IndexedDB interfejsu programowania aplikacji (API), który przechowuje dane w przeglądarce.
Jak wyjaśnia FingerprintJS, IndexedDB przestrzega zasad tego samego pochodzenia, które ograniczają jedno źródło do interakcji z danymi zebranymi w innych źródłach — zasadniczo tylko witryna, która generuje dane, może uzyskać do nich dostęp. Na przykład, jeśli otworzymy konto e-mail na jednej karcie, a następnie uruchomimy złośliwą stronę internetową na innej, zasady tego samego pochodzenia uniemożliwią malware przeglądanie i ingerowanie w naszą pocztę e-mail.
FingerprintJS ustaliło, że błąd w Safari 15 może zdradzić naszą aktywność przeglądania, a także ujawnić niektóre dane osobowe z konta Google.
This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022
FingerprintJS odkrył, że wykorzystanie interfejsu Apple IndexedDB w Safari 15 faktycznie narusza zasady tego samego pochodzenia. Kiedy witryna wchodzi w interakcję z bazą danych w Safari, „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki”. Oznacza to, że inne witryny mogą zobaczyć nazwy innych baz danych utworzonych na innych witrynach, które mogą zawierać szczegółowe informacje dotyczące naszej tożsamości. FingerprintJS zauważa, że witryny korzystające z konta Google, takie jak YouTube, Kalendarz Google i Google Keep, generują bazy danych z naszym unikalnym identyfikatorem użytkownika Google w nazwie. Nazwa użytkownika umożliwia Google dostęp do naszych publicznie dostępnych informacji, takich jak zdjęcie profilowe, które błąd Safari może ujawnić innym witrynom.
Firma FingerprintJS stworzyła demonstrację proof-of-concept, którą można wypróbować, o ile mamy Safari 15 (i nowsze) na komputerach Mac, iPhone'ach lub iPadach. Demo wykorzystuje lukę IndexedDB przeglądarki do identyfikacji witryn, które otwieramy (lub ostatnio otwieraliśmy) i pokazuje, w jaki sposób witryny wykorzystujące ten błąd mogą wyłuskać informacje z naszego identyfikatora użytkownika Google. Obecnie wykrywa 30 popularnych witryn, których dotyczy ten błąd, takich jak Instagram, Netflix, Twitter, Xbox, ale prawdopodobnie problem dotyczy znacznie większej liczby stron.
Niestety, niewiele można zrobić, aby zniwelować ten problem, ponieważ FingerprintJS mówi, że błąd wpływa również na tryb przeglądania prywatnego w Safari. Można użyć innej przeglądarki w systemie macOS, ale ban Apple na zewnętrzne silniki przeglądarek w systemie iOS oznacza, że dotyczy to wszystkich przeglądarek. FingerprintJS zgłosił wyciek do WebKit Bug Tracker 28 listopada, ale nie pojawiła się jeszcze aktualizacja Safari.
Zobacz także:
- Niemcy chcą zbanować Telegram za popularność wśród konserwatystów i przeciwników ograniczeń
- Xiaomi Redmi Note 11 - poznaliśmy europejskie ceny smartfonów
- Xiaomi stosuje cenzurę w swoich smartfonach? Eksperci nie mają wątpliwości
Pokaż / Dodaj komentarze do: Luka w przeglądarce Safari może ujawnić naszą historię przeglądania i informacje konta Google