მავნე ვებსაიტებს შეუძლიათ Safari-ზე წვდომა თქვენი Google ანგარიშის ზოგიერთ დეტალზე და ბოლოდროინდელ დათვალიერების ისტორიაზე

Xda სიახლეების ბრიფინგიNov 10, 2023
click fraud protection

Safari-ის სერიოზული შეცდომა საშუალებას აძლევს მავნე ვებსაიტებს წვდომა მიიღონ თქვენი Google ანგარიშის ზოგიერთ დეტალზე და ბოლო დათვალიერების ისტორიაზე.

Apple თავს აქვეყნებს, როგორც კონფიდენციალურობაზე ორიენტირებული კორპორაცია, მაგრამ არცერთი ინტერნეტთან დაკავშირებული მოწყობილობა არ არის ნამდვილად უსაფრთხო. და მიუხედავად მისი პრეტენზიებისა, კომპანიას ხანდახან დიდი დრო სჭირდება მოხსენების შესწორებას ექსპლოიატებს. უახლესი ანგარიში ხაზს უსვამს, რომ მავნე ვებსაიტებს შეუძლიათ წვდომა ზოგიერთი მომხმარებლის Google ანგარიშის დეტალებზე და Safari-ზე დათვალიერების ბოლო ისტორიაზე. ექსპლოიტი Apple-თან ჯერ კიდევ ნოემბერში იყო გაზიარებული და ის ჯერ კიდევ არ მოგვარებულა.

თითის ანაბეჭდი JS აქვს გამჟღავნებული ეს სერიოზული Safari შეცდომა ბოლო ბლოგ პოსტში (via 9 to 5 Mac). Safari's IndexedDB დანერგვა Apple-ის ოპერაციულ სისტემებზე საშუალებას აძლევს ვებგვერდებს წაიკითხონ სხვა დომენების მონაცემთა ბაზის სახელები. მიუხედავად იმისა, რომ ეს იმპლემენტაცია არ აძლევს მათ წვდომას მონაცემთა ბაზების რეალურ შინაარსზე, თავად სახელებს შეუძლიათ ბევრი რამ გამოავლინონ მომხმარებლის შესახებ. მაგალითად, Google ინახავს შესული ანგარიშების მონაცემებს მომხმარებლის უნიკალური ID-ების გამოყენებით, როგორც მონაცემთა ბაზის სახელები. ეს საშუალებას აძლევს ვებსაიტს წვდომა ჰქონდეს კიდევ უფრო მეტ თქვენს ინფორმაციაზე, რადგან Google-ის მომხმარებლის ID გამოიყენება Google სერვისების API მოთხოვნებისთვის. ამ შეცდომის გამოსწორება შეზღუდავს ვებსაიტებს სხვა დომენების მონაცემთა ბაზის სახელების ნახვაში. FingerprintJS შემდგომ განმარტავს:

გაითვალისწინეთ, რომ ეს გაჟონვები არ საჭიროებს რაიმე კონკრეტულ მომხმარებლის მოქმედებას. ჩანართს ან ფანჯარას, რომელიც მუშაობს ფონზე და მუდმივად ითხოვს IndexedDB API-ს ხელმისაწვდომი მონაცემთა ბაზებისთვის, შეუძლია გაიგოს, რომელ სხვა ვებსაიტებს სტუმრობს მომხმარებელი რეალურ დროში. ალტერნატიულად, ვებსაიტებს შეუძლიათ გახსნან ნებისმიერი ვებსაიტი iframe ან ამომხტარ ფანჯარაში, რათა გამოიწვიონ IndexedDB-ზე დაფუძნებული გაჟონვა ამ კონკრეტული საიტისთვის.

ამ შეცდომის სერიოზულობის გათვალისწინებით, გაურკვეველია, რატომ არ მოაგვარა Apple-მა ის ჯერ. ექსპლოიტის საჯაროდ გამოქვეყნების შემდეგ, ჩვენ მხოლოდ იმედი გვაქვს, რომ კომპანია შეასწორებს მას მომავალ ვერსიაში iOS 15.3. იმავდროულად, თუ macOS-ზე ხართ, შეგიძლიათ დაიცვათ თავი სხვა ვებ ბრაუზერზე გადასვლით. სამწუხაროდ, ყველა ბრაუზერი iOS-ზე და iPadOS-ზე დაზარალდა, რადგან ისინი დაფუძნებულია Apple-ის WebKit-ზე.

რომელ ვებ ბრაუზერს იყენებთ ძირითადად და რატომ? შეგვატყობინეთ ქვემოთ მოცემულ კომენტარების განყოფილებაში.