A rosszindulatú webhelyek hozzáférhetnek Google-fiókjának egyes adataihoz és legutóbbi böngészési előzményeihez a Safari böngészőben

Egy komoly Safari-hiba lehetővé teszi a rosszindulatú webhelyek számára, hogy hozzáférjenek Google-fiókja egyes adataihoz és legutóbbi böngészési előzményeihez.

Az Apple az adatvédelemre összpontosító vállalatként hirdeti magát, de egyetlen internetkapcsolattal rendelkező eszköz sem igazán biztonságos. És állításai ellenére a cégnek néha sok időbe telik a bejelentések javítása kihasználja. A legfrissebb jelentés kiemeli, hogy a rosszindulatú webhelyek hozzáférhetnek a felhasználók Google-fiókjának egyes adataihoz és a legutóbbi böngészési előzményekhez a Safari böngészőben. A kihasználást még novemberben megosztották az Apple-lel, és még mindig nem sikerült megoldani.

UjjlenyomatJS van nyilvánosságra ez a súlyos Safari hiba egy nemrégiben megjelent blogbejegyzésben (via 9-5Mac). A Safari IndexedDB megvalósítása az Apple operációs rendszerein lehetővé teszi a webhelyek számára, hogy beolvassák más tartományok adatbázisneveit. Bár ez a megvalósítás nem biztosít hozzáférést az adatbázisok tényleges tartalmához, maguk a nevek sokat elárulhatnak a felhasználóról. Például a Google a bejelentkezett fiókok adatait a felhasználók egyedi azonosítóival adatbázisnévként tárolja. Ez lehetővé teszi egy webhely számára, hogy még több információhoz férhessen hozzá, mivel a Google felhasználói azonosítóját a Google szolgáltatások API-kéréseinek lebonyolításához használják. A hiba javítása az lenne, hogy a webhelyek ne lássák más tartományok adatbázisneveit. Az ujjlenyomatJS tovább magyarázza:

Vegye figyelembe, hogy ezek a szivárgások nem igényelnek speciális felhasználói beavatkozást. A háttérben futó lap vagy ablak, amely folyamatosan lekérdezi az IndexedDB API-t az elérhető adatbázisokról, megtudhatja, hogy a felhasználó milyen más webhelyeket látogat meg valós időben. Alternatív megoldásként a webhelyek bármelyik webhelyet megnyithatják iframe-ben vagy felugró ablakban, hogy IndexedDB-alapú szivárgást váltsanak ki az adott webhelyen.

Figyelembe véve a hiba súlyosságát, nem világos, hogy az Apple miért nem javította még ki. Az exploit nyilvános közzétételével csak remélni tudjuk, hogy a vállalat bejavítja azt egy hamarosan megjelenő buildben iOS 15.3. Addig is, ha macOS-t használ, megvédheti magát, ha másik böngészőre vált. Sajnos azonban minden iOS és iPadOS böngésző érintett, mivel ezek az Apple WebKiten alapulnak.

Melyik böngészőt használja elsősorban, és miért? Tudassa velünk az alábbi megjegyzések részben.