Eksperci ds. bezpieczeństwa odkryli poważną lukę w najnowszej wersji przeglądarki internetowej firmy Apple, która powoduje wyciek historii przeglądania, a nawet niektórych danych tożsamości przechowywanych na powiązanych kontach Google.
Zgodnie z postem na blogu dostawców usług bezpieczeństwa cybernetycznego FingerprintJS, problem leży w interfejsie API firmy Apple, IndexedDB, używanym do przechowywania danych w przeglądarce Safari 15.
Safari 15 ma środek bezpieczeństwa, który uniemożliwia złośliwym stronom otwartym na jednej karcie odczytywanie danych generowanych przez strony internetowe otwarte na innej karcie. Według FingerprintJS API IndexedDB w Safari 15 narusza tę politykę (zwaną zasadą tego samego pochodzenia) i zamiast tego „tworzy nową (pustą) bazę danych o tej samej nazwie we wszystkich innych aktywnych ramkach, kartach i oknach”. sesja przeglądarki”.
jeszcze nie ma patcha
Naukowcy wyjaśnili również, w jaki sposób luka może zostać wykorzystana do uzyskania danych konta Google. Usługi Google (np. YouTube) generują bazy danych, które zawierają w swoich nazwach unikalny identyfikator użytkownika Google. Ponieważ te poświadczenia są używane do uzyskiwania dostępu do informacji publicznych, takich jak zdjęcie profilowe, inne witryny również mogą je zobaczyć.
Aby pokazać, w jaki sposób strona internetowa może dowiedzieć się o bieżącej i ostatniej aktywności przeglądania dowolnego odwiedzającego, badacze stworzyli również wersję demonstracyjną, którą można znaleźć pod tym linkiem. W tej chwili wykrywa 30 dotkniętych witryn, ale lista jest prawdopodobnie znacznie dłuższa.
Jak na razie wydaje się, że nie ma rozwiązania problemu. Jak donosi The Verge, problem dotyczy nawet trybu przeglądania prywatnego w przeglądarce Safari, a ponieważ silnik przeglądania innej firmy Apple został zablokowany w systemie iOS, dotyczy to również wszystkich innych przeglądarek.
Luka została zgłoszona do WebKit Bug Tracker pod koniec listopada ubiegłego roku, ale Apple nie wydało jeszcze aktualizacji dla przeglądarki i milczy na ten temat.
Jedną z opcji, sugerowaną przez badaczy, jest domyślne blokowanie całego kodu JavaScript i zezwalanie na niego tylko w zaufanych witrynach. Jednak to sprawia, że nowoczesne przeglądanie sieci jest „niewygodne i prawdopodobnie nie jest odpowiednie dla wszystkich” – podsumowali.
- Możesz również sprawdzić naszą listę najlepszych zapór ogniowych już teraz.
Via: The Verge