Тази грешка в Safari може да изтича скорошната ви история на сърфиране

Беше разкрито, че грешка в Safari 15 може да разкрие скорошната ви история на сърфиране и дори някаква информация от влезли акаунти в Google.

Публикация в блог от FingerprintJS (чрез 9to5mac) разкри, че огромна грешка в Safari 15 всъщност може да изтече скорошната ви история на сърфиране от приложението.

Всеки, който е свързал акаунта си в Google със Safari, също може да бъде изложен на риск личната му информация също да бъде разкрита.

Тази уязвимост е свързана с проблем с начина, по който Apple прилага IndexedDB, което е интерфейс за програмиране на приложения (API), който съхранява данни във вашия браузър.

Грешката означава, че уебсайтът може да вижда имената на бази данни за всеки домейн на Mac и iOS, а не само техните собствени. Използвайки имената, уебсайтовете могат да извличат идентифицираща информация от таблица за търсене.

Например, ако отворите имейла си на една уеб страница и след това отворите друга уеб страница, която се окаже злонамерена, приложението на Apple на API означава, че злонамереният уебсайт може да види имейла ви и да изстърже потребителския ви идентификатор на Google, който може да се използва за намиране на повече информация за Вие.

Това е огромен бъг. В OSX потребителите на Safari могат (временно) да преминат към друг браузър, за да избегнат изтичането на техните данни в различни източници. Потребителите на iOS нямат такъв избор, защото Apple налага забрана на други браузъри. https://t.co/aXdhDVIjTT

— Джейк Арчибалд (@jaffathecake) 16 януари 2022 г

Обикновено политика, наречена политика за същия произход, би блокирала това да се случи, тъй като ограничава един източник от взаимодействие с данни, които се събират другаде; с други думи, ако отворите имейла си и след това злонамерен уебсайт, опасният уебсайт няма да има начин за достъп до вашия имейл или други уеб страници, с които взаимодействате.

FingerprintsJS също макет а демонстрация за доказване на концепцията, която ни показва таблица за търсене от около 30 имена на домейни, които включват уязвимостта IndexedDB на браузъра, включително Netflix, Twitter и Xbox. Можете да използвате сайта, ако имате Safari на всяко устройство на Apple, за да видите всички сайтове, които сте отворили наскоро, и да видите как грешката може да получи достъп до вашата информация.

Въпреки това беше посочено, че същата техника може да се използва за по-голям набор от имена на домейни, като всеки уебсайт, който използва IndexedDB JavaScript API, сега е уязвим за изстъргване на данни.

За съжаление, всички текущи версии на Safari за iOS и Mac са незащитени, като Apple в момента не коментира проблема, който първоначално беше докладван от FingerprintJS на 28 ноември.

Със сигурност ще ви държим в течение с този теч веднага щом излезе повече информация. Свързахме се с Apple за коментар, но не сме се чули по времето, когато тази статия беше написана.

Защо да вярваме на нашата журналистика?

Основана през 2004 г., Trusted Reviews съществува, за да даде на нашите читатели изчерпателни, безпристрастни и независими съвети какво да купуват.

Днес имаме 9 милиона потребители на месец по целия свят и оценяваме повече от 1000 продукта годишно.