Błąd w Safari może ujawnić Twoją ostatnią aktywność przeglądania i dane

W przeglądarce Safari 15 wykryto błąd, który może ujawniać identyfikator użytkownika Google dla innych witryn.

Błąd indexedDB w Safari 15

Błąd w przeglądarce internetowej Safari 15 może pozwolić na ujawnienie Twojej aktywności przeglądania, i może również ujawnić niektóre z danych osobowych dołączonych do Twojego konta Google – tak wynika z ostatnich ustaleń z FingerPrintJs (przez 9TO5Mac). Luka wynika z problemu z wdrożeniem IndeksedDB przez Apple – interfejsu programowania aplikacji (API), które przechowuje dane w przeglądarce.

Zasadniczo, tylko strona internetowa, która generuje dane, może uzyskać do nich dostęp. Na przykład, jeśli otworzysz konto e-mail na jednej karcie, a następnie otworzysz złośliwą stronę internetową w innej, przeglądarka powinna uniemożliwiać złośliwej stronie na podejrzenie danych z innej karty.

Fingerprintjs stwierdził, że aplikacja Apple API INDEXEDDB w Safari 15 faktycznie narusza tę politykę prywatności. Gdy strona internetowa współdziała z bazą danych w Safari, nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki.

Oznacza to, że inne strony internetowe mogą zobaczyć nazwę innych baz danych utworzonych na innych witrynach, które mogą zawierać szczegóły specyficzne dla Twojej tożsamości. FingerprintJs wylistował witryny, które korzystają z konta Google, takie jak YouTube, Kalendarz Google i Google Keep – wszystkie generują bazy danych z unikalnym identyfikatorem użytkownika Google w swojej nazwie. Twój identyfikator użytkownika Google pozwala firmie Google uzyskać dostęp do publicznie dostępnych informacji, takich jak obraz profilowy, który błąd w Safari może wstawić na inne strony internetowe.

FingerprintJs stworzył demonstrację koncepcyjną, którą możesz wypróbować, jeśli masz Safari 15 i nowszą na komputerze Mac, iPhone lub iPadzie. Demo wykorzystuje luki w przeglądarce, aby zidentyfikować witryny i pokazuje, w jaki sposób działaja błąd z identyfikatorem użytkownika Google. Obecnie wykryto tylko 30 popularnych witryn, na które wpływa na błąd, takie jak Instagram, Netflix, Twitter, Xbox, ale prawdopodobnie wpływa na znacznie więcej.

Niestety, nie można zrobić zbyt wiele, aby obejść problem, ponieważ Fingerprintjs mówi, że błąd wpływa również na prywatny tryb przeglądania w Safari. Możesz użyć innej przeglądarki pod systemem macOS, ale zainstalowany apple Border Browser Browser Bord pod iOS i iPadOS oznacza, że ​​wszystkie przeglądarki są dotknięte błędem – nawet firm trzecich.

FingerprintJs zgłosiły wyciek do trackera WebKit Bug Tracker 28 listopada 2021 roku, ale nie pojawiła się jeszcze poprawka tego błędu dla Safari.

➔ Obserwuj nas w Google News, aby być na bieżąco!

źródło: The Verge | 9To5Mac