באג רציני ב-Safari מאפשר לאתרים זדוניים לגשת לחלק מפרטי חשבון Google שלך ולהיסטוריית הגלישה האחרונה.
אפל משווקת את עצמה כתאגיד ממוקד פרטיות, אבל אף מכשיר מחובר לאינטרנט אינו מאובטח באמת. ולמרות הטענות שלה, לחברה לפעמים לוקח זמן רב עד שהדיווח מדווח מנצלים. הדוח האחרון מדגיש שאתרים זדוניים יכולים לגשת לחלק מפרטי חשבון Google של המשתמשים ולהיסטוריית הגלישה האחרונה ב-Safari. הניצול שותף עם אפל בנובמבר, וזה עדיין לא נפתר.
טביעת אצבע JS יש ל נחשף הבאג החמור הזה בספארי בפוסט האחרון בבלוג (via 9to5Mac). יישום IndexedDB של Safari במערכות ההפעלה של אפל מאפשר לאתרים לקרוא את שמות מסדי הנתונים של דומיינים אחרים. אמנם יישום זה אינו מעניק להם גישה לתוכן בפועל של מסדי הנתונים, אך השמות עצמם יכולים לחשוף הרבה על משתמש. לדוגמה, גוגל מאחסנת את הנתונים של חשבונות מחוברים באמצעות מזהים ייחודיים של משתמשים כשמות מסד נתונים. זה מאפשר לאתר לגשת עוד יותר מהמידע שלך, מכיוון שמזהה המשתמש של Google משמש לביצוע בקשות API של שירותי Google. התיקון לבאג זה יגביל אתרים מלראות את שמות מסדי הנתונים של דומיינים אחרים. FingerprintJS מסביר עוד:
שימו לב שהדלפות אלו אינן דורשות שום פעולה ספציפית של המשתמש. כרטיסייה או חלון הפועלים ברקע ומחפשים ללא הרף את ה-API של IndexedDB עבור מסדי נתונים זמינים, יכולים ללמוד באילו אתרים אחרים משתמש מבקר בזמן אמת. לחלופין, אתרי אינטרנט יכולים לפתוח כל אתר ב-iframe או בחלון קופץ על מנת להפעיל דליפה מבוססת IndexedDB עבור אותו אתר ספציפי.
בהתחשב בחומרת הבאג הזה, לא ברור מדוע אפל לא תיקנה אותו עדיין. עם פרסום הניצול לציבור, אנחנו יכולים רק לקוות שהחברה תתקן אותו בבנייה הקרובה של iOS 15.3. בינתיים, אם אתה משתמש ב-macOS, תוכל להגן על עצמך על ידי מעבר לדפדפן אינטרנט אחר. למרבה הצער, עם זאת, כל הדפדפנים ב-iOS וב-iPadOS מושפעים, מכיוון שהם מבוססים על WebKit של אפל.
באיזה דפדפן אינטרנט אתה משתמש בעיקר ומדוע? ספר לנו בקטע ההערות למטה.