Safari 15 äsja avastatud viga võimaldab igal veebisaidil teie sirvimistegevust jälgida ja võib isegi teie isiku paljastada, kui olete Google'i kasutaja.
Probleem tuleneb Apple'i IndexedDB juurutamisest, salvestus-API-st, mida enamik kaasaegseid brausereid laialdaselt toetavad, ning see mõjutab nii Maci kui ka iPhone'i ja iPadi kasutajaid. Siin on, mida peate teadma.
Safari 15 lekib kasutajaandmeid
IndexedDB on veebibrauseritele mõeldud JavaScripti API, mis on loodud suure andmemahu, sealhulgas failide hoidmiseks. Seda kasutavad paljud veebirakendused andmete salvestamiseks teie masinasse, et need oleksid kiiremini laaditavad ja reageerivad paremini.
IndexedDB kasutab nn sama päritolu poliitikat – turvamehhanismi, mis piirab seda, kuidas ühest lähtekohast laaditud dokumendid või väljavõtted saavad suhelda teiste päritolu ressurssidega. Teisisõnu, sama päritoluga poliitika takistab veebisaidil juurdepääsu teise salvestatud andmetele.
Siiski sisse Safari 15, ei lase viga sama algupärase poliitika õigesti töötada. See annab veebisaitidele juurdepääsu teiste saitide loodud andmebaasidele, võimaldades neil vaadata teie sirvimisharjumusi väljaspool oma seinu. Veelgi enam, viga võib isegi teie identiteedi lekkida.
Ettevaatust, Google'i kasutajad
"Lisaks täheldasime, et mõnel juhul kasutavad veebisaidid andmebaasinimedes ainulaadseid kasutajaspetsiifilisi identifikaatoreid," selgitab FingerprintJS, mis probleemi esimesena avastas. "See tähendab, et autentitud kasutajaid saab ainulaadselt ja täpselt tuvastada."
Põhjus on selles, et mõned populaarsed Google'i saidid (sh YouTube, Google'i kalender ja Google Keep) loovad andmebaase, mis sisaldavad teie autentitud Google'i kasutaja ID-d. See ID on seotud ühe Google'i kontoga (teie oma) ja seda saab kasutada koos Google'i API-dega kasutajateabe toomiseks.
"Pange tähele, et need lekked ei nõua kasutajalt mingeid konkreetseid meetmeid," hoiatab aruanne. "Taustal töötav ja IndexedDB API-lt pidevalt päringuid saadaolevate andmebaaside kohta päringute vahekaart või aken võib reaalajas teada saada, milliseid teisi veebisaite kasutaja külastab."
Privaatrežiim ei saa teid aidata
FingerprintJS kontrollis Alexa 1000 populaarseimat veebisaiti, et näha, kui paljud kasutavad IndexedDB-d, ja leidis rohkem kui 30 mis suhtlevad API-ga otse oma kodulehel – ilma kasutaja erilise sekkumiseta nõutud. Seega võivad teatud saidid teie andmeid kraapida ja te ei tea sellest midagi.
"Kahtlustame, et see arv on reaalsete stsenaariumide korral oluliselt suurem, kuna veebisaidid saavad suhelda andmebaasidega alamlehtedel, pärast konkreetseid kasutajatoiminguid või lehe autentitud osades."
Kahjuks mõjutab viga ka Safari privaatrežiimi. Kuna aga privaatrežiim piirab sirvimisseansid ühe vahekaardiga, vähendab see oluliselt mitmel saidil saadaoleva teabe hulka.
Vaadake, kas olete mõjutatud
Saate teada saada, kas see viga teid mõjutab, külastades FingerprintJS-i kontseptsiooni tõestusleht. Vaid ühe klõpsuga näitab see teile, milliseid andmeid Safari teie kohta lekib – ja kõiki Google’i kasutaja ID-sid, mida see tuvastab. See on lihtsalt lihtne rakendus demonstratsiooni eesmärgil ja see on täiesti ohutu.
FingerprintJS teatas sellest probleemist WebKit Bug Trackeri kaudu 28. novembril 2021. Sellele pole veel lahendust. Ka Safari 15-s saate enda kaitsmiseks teha vähe peale JavaScripti täieliku blokeerimise. See aga takistab paljudel veebisaitidel kavandatud tööd ja see ei ole täiesti tõhus.
Kui olete selle probleemi pärast mures, on parem kasutada mõnda muud veebibrauserit, kuni Apple on lahenduse välja töötanud. Ja installige kindlasti kõik Safari värskendused niipea, kui need on saadaval.