Dėl šios „Safari“ klaidos gali būti nutekinta jūsų naujausia naršymo istorija

Buvo atskleista, kad „Safari 15“ klaida gali atskleisti jūsų naujausią naršymo istoriją ir net tam tikrą informaciją iš prisijungusių „Google“ paskyrų.

Tinklaraščio įrašas iš Pirštų atspaudaiJS (per 9-5 mac) atskleidė, kad didžiulė „Safari 15“ klaida iš tikrųjų gali nutekėti iš programos naujausios naršymo istorijos.

Kiekvienas, kuris susiejo savo „Google“ paskyrą su „Safari“, taip pat gali rizikuoti, kad bus atskleista jų asmeninė informacija.

Šis pažeidžiamumas buvo susietas su problema, susijusia su „Apple“ diegimu IndexedDB, kuri yra programų programavimo sąsaja (API), kuri saugo duomenis jūsų naršyklėje.

Klaida reiškia, kad svetainė gali matyti bet kurio „Mac“ ir „iOS“ domeno, o ne tik savo, duomenų bazių pavadinimus. Naudodamos pavadinimus, svetainės gali išgauti identifikuojančią informaciją iš paieškos lentelės.

Pavyzdžiui, jei atidarytumėte savo el. paštą viename tinklalapyje, o tada atidarytumėte kitą tinklalapį, kuris yra kenkėjiškas, „Apple“ programa API reiškia, kad kenkėjiška svetainė gali peržiūrėti jūsų el. paštą ir nuskaityti jūsų „Google“ vartotojo ID, kurį galima naudoti norint sužinoti daugiau apie tu.

Tai didžiulė klaida. OSX sistemoje „Safari“ vartotojai gali (laikinai) pereiti prie kitos naršyklės, kad išvengtų duomenų nutekėjimo iš įvairių šaltinių. iOS vartotojai tokio pasirinkimo neturi, nes Apple taiko draudimą kitiems naršyklių varikliams. https://t.co/aXdhDVIjTT

- Jake'as Archibaldas (@jaffathecake) 2022 m. sausio 16 d

Paprastai politika, vadinama tos pačios kilmės politika, neleistų to įvykti, nes ji riboja vienos kilmės sąveiką su kitur surinktais duomenimis; kitaip tariant, jei atidarytumėte savo el. paštą ir kenkėjišką svetainę, pavojinga svetainė negalėtų pasiekti jūsų el. pašto ar kitų tinklalapių, su kuriais bendraujate.

Pirštų atspaudai JS taip pat išjuokė a koncepcijos įrodymo demonstracija, kurioje rodoma maždaug 30 domenų pavadinimų, kuriuose yra naršyklės „IndexedDB“ pažeidžiamumo, paieškos lentelė, įskaitant „Netflix“, „Twitter“ ir „Xbox“. Galite naudoti svetainę, jei turite „Safari“ bet kuriame „Apple“ įrenginyje, kad pamatytumėte visas neseniai atidarytas svetaines ir sužinotumėte, kaip klaida gali pasiekti jūsų informaciją.

Tačiau buvo pažymėta, kad tą pačią techniką galima naudoti didesniam domenų vardų rinkiniui, o bet kuri svetainė, kurioje naudojama „IndexedDB JavaScript“ API, dabar gali būti pažeidžiama duomenų nuskaitymui.

Deja, visos dabartinės „Safari“ versijos „iOS“ ir „Mac“ yra neapsaugotos, o „Apple“ šiuo metu nekomentuoja problemos, apie kurią iš pradžių pranešė „FingerprintJS“ lapkričio 28 d.

Mes tikrai informuosime jus apie šį nutekėjimą, kai tik pasirodys daugiau informacijos. Kreipėmės į „Apple“ dėl komentaro, bet šio straipsnio rašymo metu nieko negirdėjome.

Kam pasitikėti mūsų žurnalistika?

2004 m. įkurta „Trusted Reviews“ yra skirta mūsų skaitytojams išsamiai, nešališkai ir nepriklausomai patarti, ką pirkti.

Šiandien visame pasaulyje turime 9 milijonus vartotojų per mėnesį ir per metus įvertiname daugiau nei 1000 produktų.