Natywna przeglądarka Apple, Safari (15), zawiera błąd, który może ujawnić aktywność przeglądania i identyfikatory danej osoby, w tym identyfikator Google. Usterka powstała w wyniku wdrożenia przez firmę Apple interfejsu API IndexedDB, który przechowuje dane w przeglądarce.
Chociaż implementacja interfejsu API IndexedDB nie powinna umożliwiać innym witrynom internetowym otwieranym w tej samej przeglądarce odczytu aktywności przeglądarki, zgodnie z ustaleniami usługi API pobierania odcisków palców przeglądarki, FingerprintJS, błąd oprogramowania narusza „tego samego pochodzenia”polityka.
Na przykład, jeśli masz konto bankowe uruchomione na jednej karcie, a pocztę e-mail na drugiej, zasada „tego samego pochodzenia” uniemożliwia automatyczną interakcję obu kart lub wzajemne wykorzystywanie informacji. Jednak Safari 15 nie zapobiega temu zjawisku.
Błąd dotyczy przeglądarki Safari 15 na systemach macOS, iOS i iPadOS. Ponieważ sklep z aplikacjami wymaga, aby wszystkie przeglądarki w systemach iOS i iPadOS korzystały z silnika webkit, błąd może potencjalnie dotyczyć wszystkich przeglądarek w mobilnym systemie operacyjnym Apple.
Według FingerprintJS: „Za każdym razem, gdy witryna internetowa wchodzi w interakcję z bazą danych, we wszystkich innych aktywnych ramkach, kartach i oknach w ramach tej samej sesji przeglądarki tworzona jest nowa (pusta) baza danych o tej samej nazwie”.
Zgłosili błąd 28 listopada 2021 r., ale Apple nie udostępniło jeszcze aktualizacji Safari. Podczas gdy inżynierowie Apple zacząć pracować po potencjalnej poprawce w niedzielę i oznaczeniu problemu jako „rozwiązany”, błąd będzie nadal dotyczył ludzi, dopóki te poprawki nie zostaną wprowadzone.
Z ustaleń wynika, że błąd powoduje, że Safari umożliwia witrynom otwieranym w przeglądarce przeglądanie baz danych innych kart, w tym zawartych w nich szczegółów, które mogą obejmować identyfikatory osobiste. Na przykład każda witryna korzystająca z Twojego konta Google generuje unikalną bazę danych identyfikatorów użytkowników Google. Błąd przeglądarki Safari ujawni informacje przechowywane w Twoim identyfikatorze Google wszystkim innym stronom internetowym otwieranym w tej samej przeglądarce – w innych kartach lub oknach.
Naukowcy stworzyli także witryna demonstracyjna to pokazuje, jak witryna może pobrać identyfikator konta Google danej osoby. Demo może wykryć ponad 20 stron internetowych w innych zakładkach lub oknach przeglądarki, w tym między innymi Youtube, Twitter, Instagram, Kalendarz Google. Otwarcie witryny demonstracyjnej w przeglądarce, której dotyczy problem, pozwoli Ci zobaczyć, w jaki sposób wyciekają informacje o przeglądaniu i identyfikatory osobiste.
w Wiadomościach: Strony ukraińskiego rządu zaatakowane w związku z wysokimi napięciami z Rosją
