Táto chyba Safari môže presakovať vašu nedávnu históriu prehliadania

Zistilo sa, že chyba Safari 15 môže odhaliť vašu nedávnu históriu prehliadania a dokonca aj niektoré informácie z prihlásených účtov Google.

Blogový príspevok od Fingerprint JS (cez 9 až 5 mac) odhalil, že obrovská chyba v Safari 15 môže v skutočnosti uniknúť z aplikácie vašu nedávnu históriu prehliadania.

Každý, kto prepojil svoj účet Google so Safari, môže byť tiež vystavený riziku odhalenia jeho osobných údajov.

Táto chyba zabezpečenia bola spojená s problémom so spôsobom, akým spoločnosť Apple implementuje IndexovanáDB, čo je aplikačné programové rozhranie (API), ktoré ukladá údaje vo vašom prehliadači.

Chyba znamená, že webová stránka môže vidieť názvy databáz pre ľubovoľnú doménu na Macu a iOS, nielen pre svoju vlastnú. Pomocou názvov môžu webové stránky extrahovať identifikačné informácie z vyhľadávacej tabuľky.

Ak by ste napríklad otvorili svoj e-mail na jednej webovej stránke a potom otvorili inú webovú stránku, ktorá je náhodou škodlivá, aplikácia Apple of API znamená, že škodlivá webová stránka môže zobraziť váš e-mail a zoškrabať vaše ID používateľa Google, ktoré možno použiť na zistenie ďalších informácií o vy.

Toto je obrovská chyba. V systéme OSX môžu používatelia Safari (dočasne) prepnúť na iný prehliadač, aby sa vyhli úniku údajov z rôznych zdrojov. Používatelia iOS takú možnosť nemajú, pretože spoločnosť Apple zakazuje ostatné motory prehliadačov. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) 16. januára 2022

Politika nazývaná politika rovnakého pôvodu by to zvyčajne zablokovala, pretože obmedzuje interakciu jedného zdroja s údajmi, ktoré sa zhromažďujú inde; inými slovami, ak by ste otvorili svoj e-mail a potom škodlivú webovú stránku, nebezpečná webová lokalita by nemala žiadny spôsob, ako získať prístup k vášmu e-mailu alebo iným webovým stránkam, s ktorými komunikujete.

FingerprintsJS tiež zosmiešnil a proof-of-concept demo, ktorá nám ukazuje vyhľadávaciu tabuľku s približne 30 názvami domén, ktoré zahŕňajú zraniteľnosť prehliadača IndexedDB, vrátane služieb Netflix, Twitter a Xbox. Stránku môžete použiť, ak máte Safari na akomkoľvek zariadení Apple, aby ste si mohli pozrieť všetky stránky, ktoré ste nedávno otvorili, a zistiť, ako sa chyba dostane k vašim informáciám.

Poukázalo sa však na to, že rovnakú techniku ​​je možné použiť na väčšom súbore názvov domén, pričom každá webová stránka, ktorá používa IndexedDB JavaScript API, je teraz náchylná na zoškrabovanie údajov.

Bohužiaľ, všetky aktuálne verzie Safari pre iOS a Mac sú nechránené, pričom Apple momentálne nekomentuje problém, ktorý pôvodne nahlásil FingerprintJS 28. novembra.

O tomto úniku vás budeme určite informovať hneď, ako sa objavia ďalšie informácie. Požiadali sme spoločnosť Apple o komentár, ale v čase, keď bol tento článok napísaný, sme nedostali odpoveď.

Prečo dôverovať našej žurnalistike?

Trusted Reviews, založený v roku 2004, existuje, aby našim čitateľom poskytol dôkladné, nezaujaté a nezávislé rady o tom, čo kúpiť.

Dnes máme na celom svete 9 miliónov používateľov mesačne a ročne hodnotíme viac ako 1 000 produktov.