Ondsindede websteder kan få adgang til nogle af dine Google-kontooplysninger og seneste browserhistorik på Safari

Xda Nyheder KortNov 10, 2023
click fraud protection

En alvorlig Safari-fejl giver ondsindede websteder adgang til nogle af dine Google-kontooplysninger og seneste browserhistorik.

Apple markedsfører sig selv som et privatlivsfokuseret selskab, men ingen internetforbundet enhed er virkelig sikker. Og på trods af sine påstande, tager virksomheden nogle gange lang tid at lappe rapporteret udnytter. Den seneste rapport fremhæver, at ondsindede websteder kan få adgang til nogle af brugernes Google-kontooplysninger og seneste browserhistorik på Safari. Udnyttelsen blev delt med Apple tilbage i november, og den er stadig ikke blevet løst.

FingerprintJS har afsløret denne alvorlige Safari-fejl i et nyligt blogindlæg (via 9to5Mac). Safaris IndexedDB-implementering på Apples operativsystemer tillader websteder at læse andre domæners databasenavne. Selvom denne implementering ikke giver dem adgang til det faktiske indhold af databaserne, kan navnene i sig selv afsløre meget om en bruger. For eksempel gemmer Google data fra loggede konti ved hjælp af brugernes unikke id'er som databasenavne. Dette gør det muligt for et websted at få adgang til endnu flere af dine oplysninger, da Google-bruger-id'et bruges til at foretage Google Services API-anmodninger. Rettelsen til denne fejl ville være at begrænse websteder fra at se andre domæners databasenavne. FingerprintJS forklarer yderligere:

Bemærk, at disse lækager ikke kræver nogen specifik brugerhandling. En fane eller et vindue, der kører i baggrunden og konstant forespørger på IndexedDB API for tilgængelige databaser, kan lære, hvilke andre websteder en bruger besøger i realtid. Alternativt kan websteder åbne et hvilket som helst websted i et iframe- eller popup-vindue for at udløse et IndexedDB-baseret læk for det specifikke websted.

I betragtning af hvor alvorlig denne fejl er, er det uklart, hvorfor Apple ikke har rettet den endnu. Når udnyttelsen bliver offentliggjort offentligt, kan vi kun håbe, at virksomheden retter den i en kommende build af iOS 15.3. I mellemtiden, hvis du er på macOS, kan du beskytte dig selv ved at skifte til en anden webbrowser. Desværre er alle browsere på iOS og iPadOS dog påvirket, da de er baseret på Apples WebKit.

Hvilken webbrowser bruger du primært, og hvorfor? Fortæl os det i kommentarfeltet nedenfor.