הבאג הזה בספארי יכול להדליף את היסטוריית הגלישה האחרונה שלך
נחשף כי באג ב-Safari 15 יכול לחשוף את היסטוריית הגלישה האחרונה שלך ואפילו מידע מסוים מחשבונות Google מחוברים.
פוסט בבלוג מ טביעת אצבע JS (באמצעות 9to5mac) חשף כי באג ענק ב-Safari 15 יכול למעשה להדליף את היסטוריית הגלישה האחרונה שלך מהאפליקציה.
כל מי שקישר את חשבון Google שלו לספארי עלול גם להיות בסיכון שהמידע האישי שלו ייחשף מדי.
פגיעות זו נקשרה חזרה לבעיה בדרך שבה אפל מיישמת IndexedDB, שהוא ממשק תכנות יישומים (API) המאחסן נתונים בדפדפן שלך.
הבאג אומר שאתר אינטרנט יכול לראות את השמות של מסדי נתונים עבור כל דומיין ב-Mac ו-iOS, לא רק שלהם. באמצעות השמות, אתרי אינטרנט יכולים לחלץ מידע מזהה מטבלת חיפוש.
Kaspersky Total Security - 50% הנחה
הגנה מלאה במוצר אחד
קבל את תחושת האבטחה ללא תחרות עם הגנה עטורת פרסים מפני האקרים, וירוסים ותוכנות זדוניות. בנוסף לכלי הגנת תשלום וכלי פרטיות ששומרים עליך מכל זווית. כולל VPN בחינם, מנהל סיסמאות וקספרסקי Safe Kids. עכשיו 50% הנחה מ-£19.99 בלבד לחודש
- קספרסקי
- 50% הנחה
- 19.99 פאונד לחודש
לדוגמה, אם היית פותח את הדוא"ל שלך בדף אינטרנט אחד ואז פותח דף אינטרנט אחר שבמקרה הוא זדוני, היישום של אפל של API פירושו שהאתר הזדוני יכול לראות את האימייל שלך ולגרד את מזהה המשתמש שלך ב-Google, שבו ניתן להשתמש כדי לגלות מידע נוסף על אתה.
זהו באג ענק. ב-OSX, משתמשי Safari יכולים (באופן זמני) לעבור לדפדפן אחר כדי למנוע דליפת נתונים ממקורות. למשתמשי iOS אין ברירה כזו, מכיוון שאפל מטילה איסור על מנועי דפדפן אחרים. https://t.co/aXdhDVIjTT
- ג'ייק ארצ'יבלד (@jaffathecake) 16 בינואר 2022
בדרך כלל, מדיניות שנקראת מדיניות זהה חוסמת את זה מלהתרחש, מכיוון שהיא מגבילה מקור אחד מאינטראקציה עם נתונים שנאספים במקום אחר; במילים אחרות, אם היית פותח את הדוא"ל שלך ולאחר מכן אתר זדוני, לאתר המסוכן לא תהיה שום דרך לגשת לאימייל שלך או לדפי אינטרנט אחרים שאתה מתקשר איתם.
FingerprintsJS גם לעג ל-a הדגמה של הוכחת מושג, אשר מציגה לנו טבלת חיפוש של כ-30 שמות דומיינים הכוללים את הפגיעות IndexedDB של הדפדפן, כולל Netflix, Twitter ו-Xbox. אתה יכול להשתמש באתר אם יש לך Safari בכל מכשיר של אפל כדי לראות את כל האתרים שפתחת לאחרונה ולראות כיצד הבאג יכול לגשת למידע שלך.
עם זאת, צוין שניתן להשתמש באותה טכניקה בקבוצה גדולה יותר של שמות דומיינים, כאשר כל אתר שמשתמש ב- IndexedDB JavaScript API חשוף כעת לגרידת נתונים.
לרוע המזל, כל הגרסאות הנוכחיות של ספארי ב-iOS וב-Mac אינן מוגנות, כאשר אפל אינה מגיבה כרגע על הנושא שדווח במקור על ידי FingerprintJS ב-28 בנובמבר.
אנו נדאג לעדכן אותך בהדלפה זו ברגע שייצא מידע נוסף. פנינו לאפל להערה אך לא שמענו בזמן כתיבת מאמר זה.
Kaspersky Total Security - 50% הנחה
הגנה מלאה במוצר אחד
קבל את תחושת האבטחה ללא תחרות עם הגנה עטורת פרסים מפני האקרים, וירוסים ותוכנות זדוניות. בנוסף לכלי הגנת תשלום וכלי פרטיות ששומרים עליך מכל זווית. כולל VPN בחינם, מנהל סיסמאות וקספרסקי Safe Kids. עכשיו 50% הנחה מ-£19.99 בלבד לחודש
- קספרסקי
- 50% הנחה
- 19.99 פאונד לחודש
ייתכן שתאהב…
עליית המחירים של נטפליקס הופכת אותו לשירות הסטרימינג האמריקאי היקר ביותר, אפילו ללא 4K
עדכון ינואר סוף סוף מגיע כדי להקל על כאבם של משתמשי Pixel 6 ו-Pro
אוזניות AR של אפל עשויות להתעכב עד 2023 - בלומברג
האם טלוויזיות ה-OLED של סמסונג יכולות להשיק השנה? זה נראה סביר
האם ה-OnePlus 9RT החדש מגיע לבריטניה?
מהימן ממליץ: עכברי גיימינג של Asus גונבים את ההצגה
למה לסמוך על העיתונות שלנו?
נוסדה בשנת 2004, Trusted Reviews קיימת כדי לתת לקוראים שלנו עצות יסודיות, חסרות פניות ובלתי תלויות לגבי מה לקנות.
כיום, יש לנו 9 מיליון משתמשים בחודש ברחבי העולם, ומעריכים יותר מ-1,000 מוצרים בשנה.
