Bu Safari hatası, son tarama geçmişinizi sızdırıyor olabilir

Bir Safari 15 hatasının son tarama geçmişinizi ve hatta oturum açmış Google hesaplarından bazı bilgileri ifşa edebileceği ortaya çıktı.

dan bir blog yazısı parmak iziJS (üzerinden 9to5mac), Safari 15'teki büyük bir hatanın, uygulamadaki son tarama geçmişinizi gerçekten sızdırabileceğini ortaya çıkardı.

Google hesabını Safari'ye bağlayan herkes, kişisel bilgilerinin de ifşa olma riskiyle karşı karşıya kalabilir.

Bu güvenlik açığı, Apple'ın uygulama biçimiyle ilgili bir sorunla ilişkilendirilmiştir. IndexedDBtarayıcınızda veri depolayan bir uygulama programlama arabirimi (API) olan.

Hata, bir web sitesinin yalnızca kendi değil, Mac ve iOS'taki herhangi bir etki alanı için veritabanlarının adlarını görebileceği anlamına gelir. Web siteleri, adları kullanarak bir arama tablosundan tanımlayıcı bilgileri çıkarabilir.

Örneğin, e-postanızı bir web sayfasında açarsanız ve ardından kötü niyetli olan başka bir web sayfası açarsanız, Apple'ın uygulaması API, kötü niyetli web sitesinin e-postanızı görüntüleyebileceği ve hakkında daha fazla bilgi edinmek için kullanılabilecek Google Kullanıcı Kimliğinizi kazıyabileceği anlamına gelir. sen.

Bu çok büyük bir hata. OSX'te Safari kullanıcıları, verilerinin kaynaklar arasında sızmasını önlemek için (geçici olarak) başka bir tarayıcıya geçebilir. iOS kullanıcılarının böyle bir seçeneği yok çünkü Apple diğer tarayıcı motorlarına yasak getiriyor. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) 16 Ocak 2022

Genellikle, aynı kaynak ilkesi adı verilen bir ilke, bir kaynağın başka bir yerde toplanan verilerle etkileşime girmesini kısıtladığı için bunun olmasını engeller; başka bir deyişle, e-postanızı ve ardından kötü amaçlı bir web sitesini açarsanız, tehlikeli web sitesinin e-postanıza veya etkileşimde bulunduğunuz diğer web sayfalarına erişme yolu olmazdı.

FingerprintsJS ayrıca bir kavram kanıtı demosubize, Netflix, Twitter ve Xbox dahil olmak üzere tarayıcının IndexedDB güvenlik açığını içeren yaklaşık 30 alan adından oluşan bir arama tablosunu gösterir. Herhangi bir Apple cihazında Safari varsa siteyi kullanarak yakın zamanda açtığınız siteleri görebilir ve bug'ın bilgilerinize nasıl erişebileceğini görebilirsiniz.

Bununla birlikte, aynı tekniğin daha geniş bir alan adları kümesinde kullanılabileceği ve IndexedDB JavaScript API'sini kullanan herhangi bir web sitesinin artık veri kazımaya karşı savunmasız olduğu belirtildi.

Ne yazık ki, Safari'nin iOS ve Mac'teki tüm güncel sürümleri korumasız durumda ve Apple şu anda FingerprintJS tarafından 28 Kasım'da bildirilen sorun hakkında yorum yapmıyor.

Daha fazla bilgi gelir gelmez sizi bu sızıntıyla güncel tutacağımızdan emin olabilirsiniz. Bir yorum için Apple'a ulaştık, ancak bu makalenin yazıldığı sırada geri dönmedik.

Gazeteciliğimize neden güvenelim?

2004 yılında kurulan Trusted Reviews, okuyucularımıza ne satın alacakları konusunda kapsamlı, tarafsız ve bağımsız tavsiyeler vermek için var.

Bugün dünya çapında ayda 9 milyon kullanıcımız var ve yılda 1.000'den fazla ürünü değerlendiriyoruz.