En alvorlig Safari-feil lar ondsinnede nettsteder få tilgang til noen av Google-kontodetaljene dine og nylig nettleserhistorikk.
Apple markedsfører seg selv som et personvernfokusert selskap, men ingen Internett-tilkoblede enheter er virkelig sikre. Og til tross for sine påstander, bruker selskapet noen ganger lang tid på å lappe rapportert utnytter. Den siste rapporten fremhever at ondsinnede nettsteder kan få tilgang til noen av brukernes Google-kontodetaljer og nylige nettleserhistorikk på Safari. Utnyttelsen ble delt med Apple i november, og den er fortsatt ikke løst.
FingerprintJS har avslørt denne alvorlige Safari-feilen i et nylig blogginnlegg (via 9to5Mac). Safaris IndexedDB-implementering på Apples operativsystemer lar nettsteder lese andre domeners databasenavn. Selv om denne implementeringen ikke gir dem tilgang til det faktiske innholdet i databasene, kan navnene i seg selv avsløre mye om en bruker. For eksempel lagrer Google dataene til påloggede kontoer ved å bruke brukernes unike IDer som databasenavn. Dette gjør det mulig for et nettsted å få tilgang til enda mer av informasjonen din, ettersom Googles bruker-ID brukes til å sende Google Services API-forespørsler. Løsningen på denne feilen ville være å begrense nettsteder fra å se andre domeners databasenavn. FingerprintJS forklarer videre:
Merk at disse lekkasjene ikke krever noen spesifikk brukerhandling. En fane eller et vindu som kjører i bakgrunnen og kontinuerlig spørr IndexedDB API for tilgjengelige databaser, kan lære hvilke andre nettsteder en bruker besøker i sanntid. Alternativt kan nettsteder åpne et hvilket som helst nettsted i et iframe- eller popup-vindu for å utløse en IndexedDB-basert lekkasje for det spesifikke nettstedet.
Med tanke på hvor alvorlig denne feilen er, er det uklart hvorfor Apple ikke har lappet den ennå. Når utnyttelsen publiseres offentlig, kan vi bare håpe at selskapet lapper den i en kommende versjon av iOS 15.3. I mellomtiden, hvis du bruker macOS, kan du beskytte deg selv ved å bytte til en annen nettleser. Dessverre er alle nettlesere på iOS og iPadOS berørt, siden de er basert på Apples WebKit.
Hvilken nettleser bruker du primært, og hvorfor? Gi oss beskjed i kommentarfeltet nedenfor.