Firma Apple naprawiła wyciek danych Safari przez IndexedDB pod systemami iOS 15.3 i macOS 12.2 Release Candidate.
W zeszłym tygodniu badacz bezpieczeństwa Martin Bajanik opublikował szczegóły dotyczące luki w zabezpieczeniach przeglądarki Safari 15, która pozwala witrynom zobaczyć nazwy (ale nie zawartość) baz danych zapisanych przez inne witryny. Może to potencjalnie służyć do różnego rodzaju przetwarzania danych (ale nie osobowych), ale Apple wydaje się być bliskie wydania poprawki zarówno dla systemu macOS, jak i iOS.
Kwestia bezpieczeństwa dotyczy IndexedDB, internetowego interfejsu API, który umożliwia stronom przechowywanie dużych ilości danych w przeglądarce. Bajanik napisał w swoim poście na blogu: „za każdym razem, gdy witryna wchodzi w interakcję z bazą danych [w Safari 15], nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki. ”
Dzięki temu witryny mogą zobaczyć nazwy, ale nie zawartość baz danych utworzonych przez inne witryny. Jest mało prawdopodobne, aby jakiekolwiek dane osobowe mogły zostać ujawnione tą metodą, ale złośliwa witryna lub skrypt może sprawdzić i zarejestrować inne odwiedzone przez Ciebie witryny, które korzystają z IndexedDB — potencjalnie umożliwiając (drobne) naruszenia prywatności typu fingerprinting. Witryna safarileaks.com została stworzona jako demonstracja problemu.
Na szczęście wygląda na to, że Apple szybko pracuje nad naprawą błędu. Wersja kandydująca iOS/iPadOS 15.3 została udostępniona programistom wcześniej, podobnie jak macOS 12.2 RC, które zawierają załataną wersję Safari 15.
Teraz, gdy błąd został naprawiony w wersji Release Candidate, powinien wkrótce zostać udostępniony wszystkim użytkownikom w finalnych wersjach systemów. W międzyczasie możesz korzystać z innej przeglądarki internetowej pod systemem macOS. Nie ma obejścia na iOS i iPadOS, ponieważ Apple nie zezwala na silniki renderujące innych firm w mobilnym sklepie App Store.
➔ Obserwuj nas w Google News, aby być na bieżąco!
źródło:
Od 2005 roku zajmuję się komunikacją internetową i e-marketingiem, jestem pasjonatem urządzeń mobilnych oraz nowych technologii – i nie waham się ich używać.