Lehetséges, hogy ez a Safari-hiba kiszivárogtathatja a legutóbbi böngészési előzményeit

Felfedték, hogy a Safari 15 hibája felfedheti a legutóbbi böngészési előzményeket, és még a bejelentkezett Google-fiókokból származó információkat is.

Blogbejegyzés tőle UjjlenyomatJS (keresztül 9-5mac) felfedte, hogy a Safari 15 hatalmas hibája ténylegesen kiszivárogtathatja a legutóbbi böngészési előzményeket az alkalmazásból.

Bárki, aki összekapcsolta Google-fiókját a Safarival, fennáll annak a veszélye, hogy személyes adatai is megjelennek.

Ez a sérülékenység az Apple megvalósítási módjával kapcsolatos problémához kapcsolódik IndexedDB, amely egy alkalmazásprogramozási felület (API), amely adatokat tárol a böngészőjében.

A hiba azt jelenti, hogy a webhely nem csak a saját, hanem bármely domain adatbázisának nevét láthatja Mac és iOS rendszeren. A nevek használatával a webhelyek azonosítási információkat nyerhetnek ki egy keresőtáblából.

Például, ha megnyitná az e-mailjeit egy weboldalon, majd megnyitna egy másik weboldalt, amely történetesen rosszindulatú, az Apple alkalmazása Az API azt jelenti, hogy a rosszindulatú webhely megtekintheti az Ön e-mailjeit, és lekaparhatja az Ön Google felhasználói azonosítóját, amely felhasználható további információk megszerzésére te.

Ez egy hatalmas hiba. Az OSX rendszeren a Safari-felhasználók (ideiglenesen) másik böngészőre válthatnak, hogy elkerüljék az adatok kiszivárgását a források között. Az iOS-felhasználóknak nincs ilyen választásuk, mert az Apple kitiltja a többi böngészőmotort. https://t.co/aXdhDVIjTT

- Jake Archibald (@jaffathecake) 2022. január 16

Általában az azonos eredetű irányelvnek nevezett házirend megakadályozza ezt, mivel korlátozza az egyik forrás interakcióját a máshol gyűjtött adatokkal; más szóval, ha megnyitná az e-mailjét, majd egy rosszindulatú webhelyet, a veszélyes webhely nem férhet hozzá az Ön e-mailjeihez vagy más weboldalaihoz, amelyekkel kapcsolatba lép.

Az ujjlenyomatokJS is kigúnyolta a proof-of-concept demo, amely körülbelül 30 olyan domainnév keresési táblázatát mutatja, amelyek tartalmazzák a böngésző IndexedDB sebezhetőségét, beleértve a Netflixet, a Twittert és az Xboxot. Használhatja a webhelyet, ha bármelyik Apple-eszközén Safari böngésző van, hogy megtekinthesse a nemrégiben megnyitott webhelyeket, és megtudja, hogyan férhet hozzá a programhiba az Ön adataihoz.

Arra azonban rámutattak, hogy ugyanez a technika a domainnevek nagyobb készletén is használható, így minden IndexedDB JavaScript API-t használó webhely most sebezhető az adatlekopással.

Sajnos a Safari összes jelenlegi verziója iOS és Mac rendszeren nem védett, az Apple jelenleg nem kommentálja a problémát, amelyet a FingerprintJS november 28-án jelentett.

Biztosan tájékoztatni fogjuk Önt erről a szivárgásról, amint további információk jelennek meg. Megkerestük az Apple-t megjegyzésért, de a cikk írásakor nem kaptunk visszajelzést.

Miért bízunk az újságírásunkban?

A 2004-ben alapított Trusted Reviews célja, hogy olvasóinknak alapos, elfogulatlan és független tanácsokat adjon a vásárlással kapcsolatban.

Ma havonta 9 millió felhasználónk van szerte a világon, és évente több mint 1000 terméket értékelünk.