Ta hrošč Safari bi lahko puščal vašo nedavno zgodovino brskanja

Odkrito je bilo, da lahko napaka Safari 15 razkrije vašo nedavno zgodovino brskanja in celo nekatere podatke iz prijavljenih Google računov.

Objava na blogu iz FingerprintJS (prek 9to5mac) je razkrila, da lahko velika napaka v Safariju 15 dejansko uhaja vašo nedavno zgodovino brskanja iz aplikacije.

Vsakdo, ki je svoj Google račun povezal s Safarijem, bi lahko bil tudi v nevarnosti, da bodo razkriti tudi njegovi osebni podatki.

Ta ranljivost je bila povezana s težavo z načinom izvajanja Apple IndexedDB, ki je vmesnik za programiranje aplikacij (API), ki shranjuje podatke v vašem brskalniku.

Napaka pomeni, da lahko spletno mesto vidi imena baz podatkov za katero koli domeno v sistemu Mac in iOS, ne samo svoje. Z uporabo imen lahko spletna mesta iz iskalne tabele izvlečejo identifikacijske podatke.

Kaspersky Total Security – 50% popust

Popolna zaščita v enem izdelku

Zagotovite si neprimerljiv občutek varnosti z nagrajeno zaščito pred hekerji, virusi in zlonamerno programsko opremo. Plus zaščita plačil in orodja za zasebnost, ki vas varujejo z vseh zornih kotov. Vključuje brezplačen VPN, upravitelj gesel in Kaspersky Safe Kids. Zdaj 50 % popust od samo 19,99 £ na mesec

instagram viewer

Kaspersky
50 % popust
19,99 £ na mesec

Poglej ponudbo

Na primer, če bi na eni spletni strani odprli svojo e-pošto in nato odpreli drugo spletno stran, ki je zlonamerna, Applova aplikacija API-ja pomeni, da si zlonamerno spletno mesto lahko ogleda vašo e-pošto in postrga vaš Googlov uporabniški ID, s katerim lahko izveste več informacij o ti.

To je velika napaka. V operacijskem sistemu OSX lahko uporabniki Safarija (začasno) preklopijo na drug brskalnik, da se izognejo uhajanju svojih podatkov med izvori. Uporabniki iOS-a nimajo te izbire, saj Apple prepoveduje druge brskalnike. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16. januarja 2022

Običajno bi politika, imenovana politika istega izvora, preprečila, da bi se to zgodilo, saj omejuje en izvor pri interakciji s podatki, ki so zbrani drugje; z drugimi besedami, če bi odprli svojo e-pošto in nato zlonamerno spletno mesto, nevarno spletno mesto ne bi imelo možnosti dostopa do vaše e-pošte ali drugih spletnih strani, s katerimi komunicirate.

FingerprintsJS je tudi ponaredil a demonstracija za dokaz koncepta, ki nam prikazuje tabelo za iskanje približno 30 imen domen, ki vključujejo ranljivost brskalnika IndexedDB, vključno z Netflixom, Twitterjem in Xboxom. Če imate Safari na kateri koli napravi Apple, lahko uporabite spletno mesto, da si ogledate vsa spletna mesta, ki ste jih nedavno odprli, in preverite, kako lahko napaka dostopa do vaših podatkov.

Vendar je bilo poudarjeno, da bi lahko isto tehniko uporabili na večjem naboru domenskih imen, pri čemer je vsako spletno mesto, ki uporablja IndexedDB JavaScript API, zdaj ranljivo za strganje podatkov.

Na žalost so vse trenutne različice Safarija za iOS in Mac nezaščitene, pri čemer Apple trenutno ne komentira težave, o kateri je 28. novembra prvotno poročal FingerprintJS.

Zagotovo vas bomo obveščali o tem puščanju, takoj ko bo prišlo več informacij. Za komentar smo se obrnili na Apple, vendar v času, ko je bil ta članek napisan, nismo prejeli odgovora.

Kaspersky Total Security – 50% popust

Popolna zaščita v enem izdelku