Poważny błąd przeglądarki Safari umożliwia złośliwym stronom internetowym dostęp do niektórych szczegółów Twojego konta Google i najnowszej historii przeglądania.
Apple reklamuje się jako korporacja dbająca o prywatność, ale żadne urządzenie podłączone do Internetu nie jest naprawdę bezpieczne. I pomimo twierdzeń, firma czasami zajmuje dużo czasu na zgłoszoną łatkę wykorzystuje. Z najnowszego raportu wynika, że złośliwe witryny internetowe mogą uzyskać dostęp do niektórych szczegółów kont Google użytkowników i najnowszej historii przeglądania w przeglądarce Safari. Exploit został udostępniony firmie Apple w listopadzie i nadal nie został rozwiązany.
Odcisk palcaJS ma ujawnione ten poważny błąd Safari w niedawnym poście na blogu (via 9 do 5Mac). Implementacja IndexedDB przeglądarki Safari w systemach operacyjnych Apple umożliwia witrynom internetowym odczytywanie nazw baz danych innych domen. Chociaż ta implementacja nie zapewnia im dostępu do rzeczywistej zawartości baz danych, same nazwy mogą wiele powiedzieć o użytkowniku. Na przykład Google przechowuje dane zalogowanych kont, używając unikalnych identyfikatorów użytkowników jako nazw baz danych. Dzięki temu witryna może uzyskać dostęp do jeszcze większej liczby Twoich informacji, ponieważ identyfikator użytkownika Google jest używany do wysyłania żądań do interfejsu API usług Google. Rozwiązaniem tego błędu byłoby uniemożliwienie witrynom przeglądania nazw baz danych innych domen. FingerprintJS wyjaśnia dalej:
Należy pamiętać, że te wycieki nie wymagają żadnych konkretnych działań ze strony użytkownika. Karta lub okno działające w tle i stale wysyłające zapytania do API IndexedDB o dostępne bazy danych mogą w czasie rzeczywistym dowiedzieć się, jakie inne witryny odwiedza użytkownik. Alternatywnie strony internetowe mogą otwierać dowolną witrynę w ramce iframe lub wyskakującym oknie, aby wywołać wyciek oparty na IndexedDB dla tej konkretnej witryny.
Biorąc pod uwagę powagę tego błędu, nie jest jasne, dlaczego Apple jeszcze go nie załatał. Po upublicznieniu exploita możemy mieć tylko nadzieję, że firma załata go w nadchodzącej wersji iOS 15.3. W międzyczasie, jeśli korzystasz z systemu macOS, możesz zabezpieczyć się, przełączając się na inną przeglądarkę internetową. Niestety, dotyczy to wszystkich przeglądarek na iOS i iPadOS, ponieważ są one oparte na pakiecie WebKit firmy Apple.
Z której przeglądarki internetowej najczęściej korzystasz i dlaczego? Daj nam znać w sekcji komentarzy poniżej.