Błąd Safari 15 może ujawnić Twoją ostatnią aktywność przeglądania i osobiste identyfikatory


Błąd w Safari 15 może ujawnić Twoją aktywność przeglądania, a także ujawnić niektóre dane osobowe powiązane z Twoim kontem Google, według wyniki od FingerprintJS, usługa pobierania odcisków palców przeglądarki i wykrywania oszustw (za pośrednictwem 9to5Mac). Luka wynika z problemu z implementacją przez Apple Indeksowana baza danych, interfejs programowania aplikacji (API), który przechowuje dane w przeglądarce.

Jak wyjaśnił FingerprintJS, IndexedDB przestrzega polityka tego samego pochodzenia, co ogranicza jedno źródło do interakcji z danymi zebranymi w innych źródłach — zasadniczo tylko witryna, która generuje dane, może uzyskać do nich dostęp. Na przykład, jeśli otworzysz konto e-mail na jednej karcie, a następnie otworzysz złośliwą stronę internetową na innej, zasady tego samego pochodzenia uniemożliwią złośliwej stronie przeglądanie i ingerowanie w Twoją pocztę e-mail.

Firma FingerprintJS odkryła, że ​​aplikacja firmy Apple dotycząca interfejsu IndexedDB API w przeglądarce Safari 15 w rzeczywistości narusza zasady tego samego pochodzenia. Kiedy witryna wchodzi w interakcję z bazą danych w Safari, FingerprintJS mówi, że „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki”.

Oznacza to, że inne witryny mogą zobaczyć nazwy innych baz danych utworzonych na innych witrynach, które mogą zawierać szczegółowe informacje dotyczące Twojej tożsamości. FingerprintJS zauważa, że ​​witryny korzystające z Twojego konta Google, takie jak YouTube, Kalendarz Google i Google Keep, generują bazy danych z Twoim unikalnym identyfikatorem użytkownika Google w nazwie. Twoja nazwa użytkownika Google umożliwia Google dostęp do Twoich publicznie dostępnych informacji, takich jak Twoje zdjęcie profilowe, które błąd Safari może ujawnić innym witrynom.

Utworzono odcisk palca JS demo weryfikujące koncepcję możesz wypróbować, jeśli masz Safari 15 i nowsze na komputerze Mac, iPhonie lub iPadzie. Demo wykorzystuje lukę IndexedDB przeglądarki do identyfikacji witryn, które otwierasz (lub ostatnio otwierałeś) i pokazuje, w jaki sposób błąd zbiera informacje z Twojej nazwy użytkownika Google. Obecnie wykrywa tylko 30 popularnych witryn, których dotyczy ten błąd, takich jak Instagram, Netflix, Twitter, Xbox, ale prawdopodobnie dotyczy znacznie więcej.

Niestety, niewiele można zrobić, aby obejść ten problem, ponieważ FingerprintJS mówi, że błąd wpływa również na tryb przeglądania prywatnego w Safari. Możesz użyć innej przeglądarki w systemie macOS, ale Blokada przeglądarki firmy Apple w systemie iOS oznacza, że ​​dotyczy to wszystkich przeglądarek. FingerprintJS zgłosił wyciek do WebKit Bug Tracker 28 listopada, ale nie pojawiła się jeszcze aktualizacja Safari. Pogranicze skontaktował się z Apple z prośbą o komentarz, ale nie od razu otrzymał odpowiedź.

Reklama





Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Twórcy Dream Daddy tworzą następny horror psychologiczny

Rogue Games i Game Grumps współpracowali przy tworzeniu wymarzony tato: Symulator randkowania z tatą w 2017 roku — gra, która początkowo...

Najlepsze oferty dzisiaj: Samsung Galaxy Tab S8, inteligentne monitory, urządzenia peryferyjne do gier i nie tylko

Źródło: Pocketnow Dzisiejsze najlepsze oferty ZAWARTOŚĆ BLISKO Samsung Galaxy Tab...

Apple wyznacza nowy termin wymogu usunięcia konta w aplikacji

Firma Apple ogłosiła w zeszłym roku zmianę w wytycznych App Store, która wymagałaby, aby wszystkie aplikacje obsługujące tworzenie kont oferowały opcję w aplikacji...
Advertisment

Chcesz być na bieżąco z najnowszymi wiadomościami?

Bardzo chcielibyśmy usłyszeć od Ciebie! Podaj swoje dane, a pozostaniemy w kontakcie. To takie proste!