Według ustaleń z Odcisk palca JS, usługa pobierania odcisków palców przeglądarki i wykrywania oszustw, błąd w Safari 15 może ujawnić Twoją aktywność online i niektóre dane osobowe powiązane z Twoim kontem Google (za pośrednictwem 9to5Mac). Problem dotyczy implementacji przez Apple Indeksowana baza danych, interfejs API, który przechowuje dane w Twojej przeglądarce.

IndexedDB, podobnie jak wszystkie internetowe bazy danych, przestrzega zasad tego samego pochodzenia, co oznacza, że ​​jedno źródło nie może wchodzić w interakcje z danymi wygenerowanymi w innych źródłach. Zasady tego samego pochodzenia uniemożliwiają złośliwej stronie przeglądanie i manipulowanie pocztą e-mail, jeśli otworzysz konto e-mail w jednej karcie, a następnie odwiedzisz szkodliwą witrynę w innej.

Uwaga użytkownicy Safari: ten błąd może spowodować wyciek historii przeglądania i osobistych identyfikatorów
Uwaga użytkownicy Safari: ten błąd może spowodować wyciek historii przeglądania i osobistych identyfikatorów

Błąd Safari, który ujawnia Twoją nazwę użytkownika Google innym witrynom

Implementacja API IndexedDB przez Apple w Safari 15, według FingerprintJS, narusza zasady tego samego pochodzenia. Kiedy witryna wchodzi w interakcję z bazą danych w Safari, FingerprintJS twierdzi, że „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych ramkach, kartach i oknach w tej samej sesji przeglądarki”.

You Might Also Like
Jak stworzyć specjalne życzenia urodzinowe dla dzieci korzystających z Netflixa?
Jak stworzyć specjalne życzenia urodzinowe dla dzieci korzystających z Netflixa?
Filtr TikTok Barbie: Jak go zdobyć i używać?
Filtr TikTok Barbie: Jak go zdobyć i używać?
Aktualizacja telegramu obejmuje tłumaczenie w aplikacji, tekst spoilera i obsługę reakcji na wiadomości
Aktualizacja telegramu obejmuje tłumaczenie w aplikacji, tekst spoilera i obsługę reakcji na wiadomości

Oznacza to, że inne witryny mogą wyświetlać nazwy innych baz danych opracowanych na innych witrynach, które mogą zawierać informacje specyficzne dla Twojej tożsamości. FingerprintJS identyfikuje strony internetowe korzystające z Twojego konta Google, takie jak między innymi YouTube, Kalendarz Google i Google Keep. Ponieważ Twoja nazwa użytkownika Google umożliwia Google dostęp do Twoich publicznie dostępnych danych, takich jak zdjęcie profilowe, luka w zabezpieczeniach Safari może ujawnić je innym witrynom.

ZOBACZ TEŻ
Indyjski rząd ostrzega użytkowników Chrome o problemie z bezpieczeństwem

Utworzono odcisk palca JS demo weryfikujące koncepcję możesz ocenić, czy masz przeglądarkę Safari 15 lub nowszą na komputerze Mac, iPhonie lub iPadzie. Demonstracja wykorzystuje lukę IndexedDB przeglądarki w celu zidentyfikowania otwartych (lub ostatnio otwieranych) witryn oraz sposobu, w jaki witryny korzystające z tej luki mogą zbierać informacje z Twojego identyfikatora użytkownika Google. Obecnie wykrywa tylko 30 głównych witryn, których dotyczy błąd, takich jak Instagram, Netflix, Twitter i Xbox , ale prawdopodobnie wpłynie znacznie więcej.

  Jak wyłączyć sugestie Siri?

Niestety niewiele można z tym zrobić, ponieważ błąd wpływa również na tryb przeglądania prywatnego w Safari. Możesz korzystać z innej przeglądarki w systemie macOS, ale wszystkie przeglądarki są objęte zakazem korzystania z przeglądarki firmy Apple w systemie iOS. 28 listopada FingerprintJS zgłosił wyciek do narzędzia WebKit Bug Tracker, ale nie ma jeszcze aktualizacji Safari.