Poważny błąd Safari ujawnione w tym poście na blogu od FingerprintJS może ujawnić informacje o Twojej ostatniej historii przeglądania, a nawet niektóre informacje o zalogowanym koncie Google.
Błąd w implementacji Safari IndexedDB na komputerach Mac i iOS oznacza, że witryna może zobaczyć nazwy baz danych dla dowolnej domeny, nie tylko własnej. Nazwy baz danych można następnie wykorzystać do wyodrębnienia informacji identyfikujących z tabeli przeglądowej. Możesz sam to wypróbować z tym demo na żywo.
Na przykład usługi Google przechowują instancję IndexedDB dla każdego z zalogowanych kont, z nazwą bazy danych odpowiadającą Twojemu identyfikatorowi użytkownika Google.
Korzystając z exploita opisanego w poście na blogu, nikczemna witryna może pobrać Twój identyfikator użytkownika Google, a następnie użyć go do znalezienia innych danych osobowych o Tobie, ponieważ identyfikator ten jest używany do wysyłania żądań API do usług Google. W demo weryfikacji koncepcji, ujawniane jest zdjęcie profilowe użytkownika.
Weryfikacja koncepcji przechowuje tylko tabelę przeglądową zawierającą około 30 nazw domen, jednak nie ma powodu, aby ta technika nie mogła być zastosowana do znacznie większego zestawu. Prawie każda witryna internetowa, która korzysta z interfejsu IndexedDB JavaScript API, może być podatna na takie zbieranie danych.
Błąd polega po prostu na tym, że nazwy wszystkich baz danych IndexedDB są dostępne dla każdej witryny; dostęp do rzeczywistej zawartości każdej bazy danych jest ograniczony. Poprawka — i prawidłowe zachowanie obserwowane w innych przeglądarkach, takich jak Chrome — polegałoby na tym, że witryna internetowa może widzieć tylko bazy danych utworzone przez tę samą nazwę domeny, co jej własna.
Wszystkie aktualne wersje Safari na iPhonie, iPadzie i Macu można wykorzystać. FingerprintJS twierdzi, że zgłosili błąd firmie Apple 28 listopada, ale nie został on jeszcze rozwiązany.
FTC: Używamy automatycznych linków partnerskich do zarabiania pieniędzy. Jeszcze.
Sprawdź 9to5Mac na YouTube, aby uzyskać więcej informacji o Apple: