เว็บไซต์ที่เป็นอันตรายสามารถเข้าถึงรายละเอียดบัญชี Google ของคุณและประวัติการเข้าชมล่าสุดบน Safari ได้

Apple ทำการตลาดตัวเองในฐานะบริษัทที่มุ่งเน้นความเป็นส่วนตัว แต่ไม่มีอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตใดที่ปลอดภัยอย่างแท้จริง และแม้จะมีการกล่าวอ้าง แต่บางครั้งบริษัทก็ใช้เวลานานในการแก้ไขรายงาน การหาประโยชน์. รายงานล่าสุดชี้ให้เห็นว่าเว็บไซต์ที่เป็นอันตรายสามารถเข้าถึงรายละเอียดบัญชี Google ของผู้ใช้บางส่วนและประวัติการเข้าชมล่าสุดบน Safari ได้ การใช้ประโยชน์ดังกล่าวได้รับการแชร์กับ Apple เมื่อเดือนพฤศจิกายนที่ผ่านมา และยังไม่ได้รับการแก้ไข

ลายนิ้วมือJS มี เปิดเผย ข้อผิดพลาดร้ายแรงของ Safari ในโพสต์บล็อกล่าสุด (ผ่าน 9to5Mac). การใช้ IndexedDB ของ Safari บนระบบปฏิบัติการของ Apple ช่วยให้เว็บไซต์สามารถอ่านชื่อฐานข้อมูลของโดเมนอื่นได้ แม้ว่าการใช้งานนี้จะไม่ได้อนุญาตให้พวกเขาเข้าถึงเนื้อหาจริงของฐานข้อมูล แต่ชื่อเองก็สามารถเปิดเผยข้อมูลเกี่ยวกับผู้ใช้ได้มากมาย ตัวอย่างเช่น Google จัดเก็บข้อมูลของบัญชีที่เข้าสู่ระบบโดยใช้รหัสเฉพาะของผู้ใช้เป็นชื่อฐานข้อมูล ซึ่งจะทำให้เว็บไซต์สามารถเข้าถึงข้อมูลของคุณได้มากขึ้น เนื่องจากมีการใช้รหัสผู้ใช้ Google เพื่อส่งคำขอ API บริการของ Google การแก้ไขข้อบกพร่องนี้จะทำให้เว็บไซต์ไม่สามารถดูชื่อฐานข้อมูลของโดเมนอื่นได้ ลายนิ้วมือJS อธิบายเพิ่มเติม:

โปรดทราบว่าการรั่วไหลเหล่านี้ไม่จำเป็นต้องดำเนินการใดๆ จากผู้ใช้โดยเฉพาะ แท็บหรือหน้าต่างที่ทำงานอยู่เบื้องหลังและค้นหาฐานข้อมูลที่มีอยู่จาก IndexedDB API อย่างต่อเนื่อง สามารถเรียนรู้ว่าผู้ใช้เข้าชมเว็บไซต์อื่นใดแบบเรียลไทม์ หรืออีกทางหนึ่ง เว็บไซต์สามารถเปิดเว็บไซต์ใดก็ได้ใน iframe หรือหน้าต่างป๊อปอัปเพื่อทริกเกอร์การรั่วไหลตาม IndexedDB สำหรับไซต์นั้น ๆ

เมื่อพิจารณาถึงความร้ายแรงของข้อบกพร่องนี้ ยังไม่ชัดเจนว่าเหตุใด Apple จึงยังไม่ทำการแก้ไข ด้วยการเผยแพร่ช่องโหว่นี้สู่สาธารณะ เราทำได้เพียงหวังว่าบริษัทจะแพทช์ในเวอร์ชันที่กำลังจะมาถึง ไอโอเอส 15.3. ในระหว่างนี้ หากคุณใช้ macOS คุณสามารถป้องกันตัวเองได้ด้วยการสลับไปใช้เว็บเบราว์เซอร์อื่น อย่างไรก็ตาม เบราว์เซอร์ทั้งหมดบน iOS และ iPadOS ได้รับผลกระทบ เนื่องจากใช้ WebKit ของ Apple

คุณใช้เว็บเบราว์เซอร์ใดเป็นหลัก และเพราะเหตุใด แจ้งให้เราทราบในส่วนความเห็นด้านล่าง