Äskettäin löydetty Safari 15:n virhe antaa minkä tahansa verkkosivuston seurata selaustoimintaasi ja saattaa jopa paljastaa henkilöllisyytesi, jos olet Googlen käyttäjä.
Ongelma johtuu Applen IndexedDB: n, tallennussovellusliittymän, jota useimmat nykyaikaiset selaimet tukevat laajalti, käyttöönotosta, ja se vaikuttaa Macin sekä iPhonen ja iPadin käyttäjiin. Tässä on mitä sinun on tiedettävä.
Safari 15 vuotaa käyttäjätietoja
IndexedDB on JavaScript-sovellusliittymä verkkoselaimille, joka on suunniteltu säilyttämään suuria tietomääriä, mukaan lukien tiedostot. Useat verkkosovellukset käyttävät sitä tietojen tallentamiseen koneellesi, jotta ne latautuvat nopeammin ja reagoivat paremmin.
IndexedDB käyttää niin kutsuttua "saman alkuperän käytäntöä" - suojausmekanismia, joka rajoittaa sitä, kuinka yhdestä lähteestä ladatut asiakirjat tai kirjoitukset voivat olla vuorovaikutuksessa muiden lähteiden resurssien kanssa. Toisin sanoen saman alkuperän käytäntö estää verkkosivustoa pääsemästä toisen tallentamiin tietoihin.
Kuitenkin sisään Safari 15, virhe estää samaa alkuperäistä käytäntöä toimimasta oikein. Tämä antaa verkkosivustoille pääsyn muiden sivustojen luomiin tietokantoihin, jolloin ne voivat tarkastella selaustottumuksiasi seinien ulkopuolella. Lisäksi virhe voi jopa vuotaa henkilöllisyytesi.
Varokaa, Googlen käyttäjät
"Lisäksi havaitsimme, että joissain tapauksissa verkkosivustot käyttävät yksilöllisiä käyttäjäkohtaisia tunnisteita tietokantojen nimissä." selittää FingerprintJS, joka havaitsi ongelman ensimmäisenä. "Tämä tarkoittaa, että todennetut käyttäjät voidaan tunnistaa yksilöllisesti ja tarkasti."
Tämä johtuu siitä, että jotkin suositut Google-sivustot – kuten YouTube, Google-kalenteri ja Google Keep – luovat tietokantoja, jotka sisältävät todetun Google-käyttäjätunnuksesi. Tämä tunnus on yhdistetty yhteen Google-tiliin (sinun) ja sitä voidaan käyttää Google-sovellusliittymien kanssa käyttäjätietojen hakemiseen.
"Huomaa, että nämä vuodot eivät vaadi käyttäjän erityistoimenpiteitä", raportti varoittaa. "Taustalla toimiva välilehti tai ikkuna, joka hakee jatkuvasti IndexedDB API: lta saatavilla olevia tietokantoja, voi oppia reaaliajassa, millä muilla verkkosivustoilla käyttäjä vierailee."
Yksityinen tila ei voi auttaa sinua
FingerprintJS tarkisti Alexan 1 000 suosituinta verkkosivustoa nähdäkseen kuinka moni käyttää IndexedDB: tä ja löysi yli 30 jotka ovat vuorovaikutuksessa API: n kanssa suoraan kotisivullaan – ilman erityisiä käyttäjien vuorovaikutuksia edellytetään. Joten tietyt sivustot voivat raaputtaa tietojasi, etkä tietäisi siitä mitään.
"Epäilemme tämän luvun olevan huomattavasti suurempi todellisissa skenaarioissa, koska verkkosivustot voivat olla vuorovaikutuksessa tietokantojen kanssa alasivuilla, tiettyjen käyttäjän toimien jälkeen tai sivun todennetuissa osissa."
Valitettavasti virhe vaikuttaa myös Safarin yksityiseen tilaan. Koska yksityinen tila kuitenkin rajoittaa selausistunnot yhteen välilehteen, se vähentää huomattavasti useiden sivustojen käytettävissä olevien tietojen määrää.
Katso, vaikuttaako sinuun
Voit selvittää, vaikuttaako tämä virhe sinuun käymällä FingerprintJS: ssä konseptin todistesivu. Se näyttää yhdellä napsautuksella, millaisia tietoja Safari vuotaa sinusta – ja kaikki Google-käyttäjätunnukset, jotka se voi havaita. Se on vain yksinkertainen sovellus esittelytarkoituksiin ja se on täysin turvallinen.
FingerprintJS ilmoitti tästä ongelmasta WebKit Bug Trackerin kautta 28. marraskuuta 2021. Siihen ei ole vielä korjausta. Myöskään Safari 15:ssä ei voi tehdä mitään suojellaksesi itseäsi, paitsi estää JavaScriptin kokonaan. Tämä estää kuitenkin monia verkkosivustoja toimimasta suunnitellulla tavalla, eikä se ole täysin tehokasta.
Jos olet huolissasi tästä ongelmasta, sinun on parempi käyttää toista verkkoselainta, kunnes Apple on julkaissut korjauksen. Ja muista asentaa kaikki Safari-päivitykset heti, kun ne ovat saatavilla.