Αυτό το σφάλμα Safari μπορεί να διαρρέει το πρόσφατο ιστορικό περιήγησής σας

Αποκαλύφθηκε ότι ένα σφάλμα Safari 15 μπορεί να αποκαλύψει το πρόσφατο ιστορικό περιήγησής σας και ακόμη και ορισμένες πληροφορίες από συνδεδεμένους λογαριασμούς Google.

Μια ανάρτηση ιστολογίου από Δακτυλικό αποτύπωμα JS (μέσω 9 σε 5 mac) αποκάλυψε ότι ένα τεράστιο σφάλμα στο Safari 15 μπορεί πραγματικά να διαρρεύσει το πρόσφατο ιστορικό περιήγησής σας από την εφαρμογή.

Οποιοσδήποτε έχει συνδέσει τον λογαριασμό του Google με το Safari θα μπορούσε επίσης να κινδυνεύσει να αποκαλυφθούν τα προσωπικά του στοιχεία.

Αυτή η ευπάθεια έχει συνδεθεί με ένα πρόβλημα με τον τρόπο που εφαρμόζει η Apple IndexedDB, το οποίο είναι μια διεπαφή προγραμματισμού εφαρμογών (API) που αποθηκεύει δεδομένα στο πρόγραμμα περιήγησής σας.

Το σφάλμα σημαίνει ότι ένας ιστότοπος μπορεί να δει τα ονόματα των βάσεων δεδομένων για οποιονδήποτε τομέα σε Mac και iOS, όχι μόνο για το δικό του. Χρησιμοποιώντας τα ονόματα, οι ιστότοποι μπορούν να εξαγάγουν πληροφορίες αναγνώρισης από έναν πίνακα αναζήτησης.

Για παράδειγμα, εάν επρόκειτο να ανοίξετε το email σας σε μια ιστοσελίδα και μετά να ανοίξετε μια άλλη ιστοσελίδα που τυχαίνει να είναι κακόβουλη, η εφαρμογή της Apple του API σημαίνει ότι ο κακόβουλος ιστότοπος μπορεί να προβάλει το email σας και να ξύσει το αναγνωριστικό χρήστη Google, το οποίο μπορεί να χρησιμοποιηθεί για να μάθετε περισσότερες πληροφορίες σχετικά με εσύ.

Αυτό είναι ένα τεράστιο σφάλμα. Στο OSX, οι χρήστες του Safari μπορούν (προσωρινά) να αλλάξουν σε άλλο πρόγραμμα περιήγησης για να αποφύγουν τη διαρροή των δεδομένων τους σε όλες τις προελεύσεις. Οι χρήστες iOS δεν έχουν τέτοια επιλογή, επειδή η Apple επιβάλλει απαγόρευση σε άλλες μηχανές προγράμματος περιήγησης. https://t.co/aXdhDVIjTT

— Τζέικ Άρτσιμπαλντ (@jaffathecake) 16 Ιανουαρίου 2022

Συνήθως, μια πολιτική που ονομάζεται πολιτική ίδιας προέλευσης θα εμπόδιζε να συμβεί αυτό, καθώς περιορίζει την αλληλεπίδραση μιας προέλευσης με δεδομένα που συλλέγονται αλλού. Με άλλα λόγια, αν ανοίξατε το email σας και στη συνέχεια έναν κακόβουλο ιστότοπο, ο επικίνδυνος ιστότοπος δεν θα είχε κανέναν τρόπο πρόσβασης στο email σας ή σε άλλες ιστοσελίδες με τις οποίες αλληλεπιδράτε.

Το FingerprintsJS χλεύασε επίσης ένα επίδειξη της ιδέας, ο οποίος μας δείχνει έναν πίνακα αναζήτησης με περίπου 30 ονόματα τομέα που περιλαμβάνουν την ευπάθεια IndexedDB του προγράμματος περιήγησης, συμπεριλαμβανομένων των Netflix, Twitter και Xbox. Μπορείτε να χρησιμοποιήσετε τον ιστότοπο εάν έχετε Safari σε οποιαδήποτε συσκευή Apple για να δείτε τυχόν ιστότοπους που ανοίξατε πρόσφατα και να δείτε πώς το σφάλμα μπορεί να έχει πρόσβαση στις πληροφορίες σας.

Ωστόσο, έχει επισημανθεί ότι η ίδια τεχνική θα μπορούσε να χρησιμοποιηθεί σε ένα μεγαλύτερο σύνολο ονομάτων τομέα, με οποιονδήποτε ιστότοπο που χρησιμοποιεί IndexedDB JavaScript API να είναι πλέον ευάλωτος στην απόσυρση δεδομένων.

Δυστυχώς, όλες οι τρέχουσες εκδόσεις του Safari σε iOS και Mac είναι απροστάτευτες, με την Apple προς το παρόν να μην σχολιάζει το ζήτημα που αναφέρθηκε αρχικά από το FingerprintJS στις 28 Νοεμβρίου.

Θα είμαστε βέβαιοι ότι θα σας κρατάμε ενήμερους για αυτήν τη διαρροή, μόλις βγουν περισσότερες πληροφορίες. Απευθυνθήκαμε στην Apple για ένα σχόλιο, αλλά δεν είχαμε λάβει απάντηση τη στιγμή που γράφτηκε αυτό το άρθρο.

Γιατί να εμπιστευτούμε τη δημοσιογραφία μας;

Το Trusted Reviews, το οποίο ιδρύθηκε το 2004, υπάρχει για να παρέχει στους αναγνώστες μας διεξοδικές, αμερόληπτες και ανεξάρτητες συμβουλές σχετικά με το τι να αγοράσουν.

Σήμερα, έχουμε 9 εκατομμύρια χρήστες το μήνα σε όλο τον κόσμο και αξιολογούμε περισσότερα από 1.000 προϊόντα το χρόνο.