Novootkrivena greška u Safariju 15 omogućuje bilo kojoj web stranici da prati vašu aktivnost pregledavanja i može čak otkriti vaš identitet ako ste korisnik Googlea.
Problem proizlazi iz Appleove implementacije IndexedDB, API-ja za pohranu koji je naširoko podržan od strane većine modernih preglednika, a utječe na korisnike na Macu, kao i na iPhoneu i iPadu. Evo što trebate znati.
Safari 15 curi korisničke podatke
IndexedDB je JavaScript API za web preglednike koji je dizajniran za držanje velikih količina podataka, uključujući datoteke. Koristi ga širok raspon web-aplikacija za pohranu podataka na vašem računalu tako da se brže učitavaju i brže reagiraju.
IndexedDB koristi ono što se zove "politika istog podrijetla" - sigurnosni mehanizam koji ograničava kako dokumenti ili skriptovi učitani iz jednog izvora mogu komunicirati s resursima iz drugih izvora. Drugim riječima, pravilo o istom podrijetlu onemogućuje web-mjestu pristup podacima koje je spremio drugi.
Međutim, u Safari 15, bug sprječava pravilan rad iste izvorne politike. To web stranicama daje pristup bazama podataka koje su stvorile druge stranice, dopuštajući im da vide vaše navike pregledavanja izvan svojih zidova. Štoviše, bug bi mogao čak i odati vaš identitet.
Pazite, Google korisnici
"Štoviše, primijetili smo da u nekim slučajevima web stranice koriste jedinstvene identifikatore specifične za korisnike u nazivima baza podataka", objašnjava FingerprintJS, koji je prvi otkrio problem. "To znači da se autentificirani korisnici mogu jedinstveno i precizno identificirati."
To je zato što neke popularne Googleove web-lokacije – uključujući YouTube, Google Kalendar i Google Keep – stvaraju baze podataka koje uključuju vaš provjereni Google korisnički ID. Ovaj ID je uparen s jednim Google računom (vašim) i može se koristiti s Google API-jima za dohvaćanje korisničkih podataka.
"Imajte na umu da ova curenja ne zahtijevaju nikakvu posebnu radnju korisnika", upozorava se u izvješću. "Kartica ili prozor koji radi u pozadini i neprestano traži od IndexedDB API-ja za dostupne baze podataka, može saznati koje druge web stranice korisnik posjećuje u stvarnom vremenu."
Privatni način rada vam ne može pomoći
FingerprintJS je provjerio Alexinih top 1000 web-mjesta kako bi vidio koliko ih koristi IndexedDB i pronašao više od 30 koji stupaju u interakciju s API-jem izravno na svojoj početnoj stranici — bez posebnih korisničkih interakcija potreban. Dakle, određene web-lokacije mogle bi ostrugati vaše podatke i vi ne biste znali ništa o tome.
"Sumnjamo da je ovaj broj znatno veći u stvarnim scenarijima jer web-mjesta mogu komunicirati s bazama podataka na podstranicama, nakon određenih radnji korisnika ili na provjerenim dijelovima stranice."
Nažalost, Safarijev privatni način također je pogođen bugom. Međutim, budući da privatni način rada ograničava sesije pregledavanja na jednu karticu, uvelike smanjuje količinu informacija dostupnih na više web-mjesta.
Provjerite jeste li pogođeni
Možete saznati je li na vas utjecala ova greška posjetom FingerprintJS' stranica s dokazom koncepta. Sa samo jednim klikom pokazuje vam kakve podatke Safari curi o vama - i sve Googleove korisničke ID-ove koje može otkriti. To je samo jednostavna aplikacija u svrhu demonstracije i savršeno je sigurna.
FingerprintJS prijavio je ovaj problem putem WebKit Bug Trackera dana 28. studenog 2021. Za to još nema rješenja. Malo toga možete učiniti da se zaštitite u Safariju 15, osim potpunog blokiranja JavaScripta. Međutim, to će spriječiti mnoge web stranice da rade kako je predviđeno i nije u potpunosti učinkovito.
Ako ste zabrinuti zbog ovog problema, njih, bolje je koristiti drugi web-preglednik dok Apple ne uvede popravak. I svakako instalirajte sva ažuriranja Safarija čim budu dostupna.
![Svaki iPhone prototip koji je Apple ikada napravio prije nego što je objavio prvi iPhone [Galerija]](/f/fd9d6a222c9cbcc9936eef2d77d781ce.jpeg?width=81&height=81)
