Błąd w Safari 15 może ujawnić Twoją aktywność przeglądania, a także ujawnić niektóre dane osobowe powiązane z Twoim kontem Google, według wyniki od FingerprintJS, usługa pobierania odcisków palców przeglądarki i wykrywania oszustw (za pośrednictwem 9to5Mac). Luka wynika z problemu z implementacją przez Apple Indeksowana baza danych, interfejs programowania aplikacji (API), który przechowuje dane w przeglądarce.
Jak wyjaśnił FingerprintJS, IndexedDB przestrzega polityka tego samego pochodzenia, co ogranicza jedno źródło do interakcji z danymi zebranymi w innych źródłach — zasadniczo tylko witryna, która generuje dane, może uzyskać do nich dostęp. Na przykład, jeśli otworzysz konto e-mail na jednej karcie, a następnie otworzysz złośliwą stronę internetową na innej, zasady tego samego pochodzenia uniemożliwią złośliwej stronie przeglądanie i ingerowanie w Twoją pocztę e-mail.
Firma FingerprintJS odkryła, że aplikacja firmy Apple dotycząca interfejsu IndexedDB API w przeglądarce Safari 15 w rzeczywistości narusza zasady tego samego pochodzenia. Kiedy witryna wchodzi w interakcję z bazą danych w Safari, FingerprintJS mówi, że „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki”.
Oznacza to, że inne witryny mogą zobaczyć nazwy innych baz danych utworzonych na innych witrynach, które mogą zawierać szczegółowe informacje dotyczące Twojej tożsamości. FingerprintJS zauważa, że witryny korzystające z Twojego konta Google, takie jak YouTube, Kalendarz Google i Google Keep, generują bazy danych z Twoim unikalnym identyfikatorem użytkownika Google w nazwie. Twoja nazwa użytkownika Google umożliwia Google dostęp do Twoich publicznie dostępnych informacji, takich jak Twoje zdjęcie profilowe, które błąd Safari może ujawnić innym witrynom.
To ogromny błąd. W systemie OSX użytkownicy Safari mogą (tymczasowo) przełączyć się na inną przeglądarkę, aby uniknąć wycieku danych między źródłami. Użytkownicy iOS nie mają takiego wyboru, ponieważ Apple nakłada zakaz na inne silniki przeglądarek. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 stycznia 2022
Utworzono odcisk palca JS demo weryfikujące koncepcję możesz wypróbować, jeśli masz Safari 15 i nowsze na komputerze Mac, iPhonie lub iPadzie. Demo wykorzystuje lukę IndexedDB przeglądarki do identyfikacji witryn, które otwierasz (lub ostatnio otwierałeś) i pokazuje, w jaki sposób błąd zbiera informacje z Twojej nazwy użytkownika Google. Obecnie wykrywa tylko 30 popularnych witryn, których dotyczy ten błąd, takich jak Instagram, Netflix, Twitter, Xbox, ale prawdopodobnie dotyczy znacznie więcej.
Niestety, niewiele można zrobić, aby obejść ten problem, ponieważ FingerprintJS mówi, że błąd wpływa również na tryb przeglądania prywatnego w Safari. Możesz użyć innej przeglądarki w systemie macOS, ale Blokada przeglądarki firmy Apple w systemie iOS oznacza, że dotyczy to wszystkich przeglądarek. FingerprintJS zgłosił wyciek do WebKit Bug Tracker 28 listopada, ale nie pojawiła się jeszcze aktualizacja Safari. Pogranicze skontaktował się z Apple z prośbą o komentarz, ale nie od razu otrzymał odpowiedź.