Według ustaleń z Odcisk palca JS, usługa pobierania odcisków palców przeglądarki i wykrywania oszustw, błąd w Safari 15 może ujawnić Twoją aktywność online i niektóre dane osobowe powiązane z Twoim kontem Google (za pośrednictwem 9to5Mac). Problem dotyczy implementacji przez Apple Indeksowana baza danych, interfejs API, który przechowuje dane w Twojej przeglądarce.
IndexedDB, podobnie jak wszystkie internetowe bazy danych, przestrzega zasad tego samego pochodzenia, co oznacza, że jedno źródło nie może wchodzić w interakcje z danymi wygenerowanymi w innych źródłach. Zasady tego samego pochodzenia uniemożliwiają złośliwej stronie przeglądanie i manipulowanie pocztą e-mail, jeśli otworzysz konto e-mail w jednej karcie, a następnie odwiedzisz szkodliwą witrynę w innej.
Błąd Safari, który ujawnia Twoją nazwę użytkownika Google innym witrynom
Implementacja API IndexedDB przez Apple w Safari 15, według FingerprintJS, narusza zasady tego samego pochodzenia. Kiedy witryna wchodzi w interakcję z bazą danych w Safari, FingerprintJS twierdzi, że „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki”.
Oznacza to, że inne witryny mogą wyświetlać nazwy innych baz danych opracowanych na innych witrynach, które mogą zawierać informacje specyficzne dla Twojej tożsamości. FingerprintJS identyfikuje strony internetowe korzystające z Twojego konta Google, takie jak między innymi YouTube, Kalendarz Google i Google Keep. Ponieważ Twoja nazwa użytkownika Google umożliwia Google dostęp do Twoich publicznie dostępnych danych, takich jak zdjęcie profilowe, luka w zabezpieczeniach Safari może ujawnić je innym witrynom.
To ogromny błąd. W systemie OSX użytkownicy Safari mogą (tymczasowo) przełączyć się na inną przeglądarkę, aby uniknąć wycieku danych między źródłami. Użytkownicy iOS nie mają takiego wyboru, ponieważ Apple nakłada zakaz na inne silniki przeglądarek. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 stycznia 2022
Indyjski rząd ostrzega użytkowników Chrome o problemie z bezpieczeństwem
Utworzono odcisk palca JS demo weryfikujące koncepcję możesz ocenić, czy masz przeglądarkę Safari 15 lub nowszą na komputerze Mac, iPhonie lub iPadzie. Demonstracja wykorzystuje lukę IndexedDB przeglądarki w celu zidentyfikowania otwartych (lub ostatnio otwieranych) witryn oraz sposobu, w jaki witryny korzystające z tej luki mogą zbierać informacje z Twojego identyfikatora użytkownika Google. Obecnie wykrywa tylko 30 głównych witryn, których dotyczy błąd, takich jak Instagram, Netflix, Twitter i Xbox , ale prawdopodobnie wpłynie znacznie więcej.
Niestety niewiele można z tym zrobić, ponieważ błąd wpływa również na tryb przeglądania prywatnego w Safari. Możesz korzystać z innej przeglądarki w systemie macOS, ale wszystkie przeglądarki są objęte zakazem korzystania z przeglądarki firmy Apple w systemie iOS. 28 listopada FingerprintJS zgłosił wyciek do narzędzia WebKit Bug Tracker, ale nie ma jeszcze aktualizacji Safari.