Naujai aptikta „Safari 15“ klaida leidžia bet kuriai svetainei stebėti jūsų naršymo veiklą ir netgi atskleisti jūsų tapatybę, jei esate „Google“ vartotojas.
Problema kyla dėl to, kad „Apple“ įdiegė „IndexedDB“ – saugojimo API, kurią plačiai palaiko dauguma šiuolaikinių naršyklių, ir ji turi įtakos „Mac“, „iPhone“ ir „iPad“ naudotojams. Štai ką reikia žinoti.
„Safari 15“ nutekina vartotojo duomenis
IndexedDB yra „JavaScript“ API, skirta žiniatinklio naršyklėms, skirta dideliems duomenų kiekiams, įskaitant failus, laikyti. Jį naudoja įvairios žiniatinklio programos duomenims jūsų įrenginyje saugoti, kad jie būtų greičiau įkeliami ir greičiau reaguotų.
„IndexedDB“ naudoja vadinamąją „tos pačios kilmės politiką“ – saugos mechanizmą, kuris riboja, kaip iš vienos kilmės įkelti dokumentai ar iškarpos gali sąveikauti su kitų šaltinių ištekliais. Kitaip tariant, tos pačios kilmės politika neleidžia svetainei pasiekti kito išsaugotų duomenų.
Tačiau į Safari 15, klaida neleidžia tinkamai veikti tos pačios originalios politikos. Tai suteikia svetainėms prieigą prie kitų svetainių sukurtų duomenų bazių, leidžiančių joms peržiūrėti jūsų naršymo įpročius už savo sienų. Be to, klaida netgi gali nutekinti jūsų tapatybę.
Būkite atsargūs, Google vartotojai
„Be to, mes pastebėjome, kad kai kuriais atvejais svetainės naudoja unikalius vartotojui būdingus identifikatorius duomenų bazių pavadinimuose“, paaiškina FingerprintJS, kuri pirmą kartą atrado problemą. "Tai reiškia, kad autentifikuoti vartotojai gali būti unikaliai ir tiksliai identifikuoti."
Taip yra todėl, kad kai kurios populiarios „Google“ svetainės, įskaitant „YouTube“, „Google“ kalendorių ir „Google Keep“, kuria duomenų bazes, kuriose yra jūsų autentifikuotas „Google“ vartotojo ID. Šis ID yra susietas su viena „Google“ paskyra (jūsų) ir gali būti naudojamas su „Google“ API, kad būtų gauta naudotojo informacija.
„Atkreipkite dėmesį, kad dėl šių nutekėjimų nereikia jokių konkrečių vartotojo veiksmų“, – įspėjama pranešime. „Skirtukas arba langas, kuris veikia fone ir nuolat ieško IndexedDB API dėl galimų duomenų bazių, gali sužinoti, kokias kitas svetaines vartotojas lanko realiuoju laiku.
Privatus režimas negali jums padėti
FingerprintJS patikrino 1000 populiariausių „Alexa“ svetainių, kad sužinotų, kiek jų naudoja „IndexedDB“, ir rado daugiau nei 30 kurie sąveikauja su API tiesiogiai savo pagrindiniame puslapyje – be jokios specialios vartotojo sąveikos reikalaujama. Taigi, tam tikros svetainės galėtų iškrapštyti jūsų duomenis ir jūs nieko apie tai nežinotumėte.
„Įtariame, kad šis skaičius yra žymiai didesnis realaus pasaulio scenarijuose, nes svetainės gali sąveikauti su duomenų bazėmis antriniuose puslapiuose, atlikus konkrečius vartotojo veiksmus arba autentifikuotose puslapio dalyse.
Deja, klaida taip pat turi įtakos „Safari“ privačiam režimui. Tačiau, kadangi privatus režimas apriboja naršymo seansus iki vieno skirtuko, jis labai sumažina informacijos, pasiekiamos keliose svetainėse, kiekį.
Pažiūrėkite, ar esate paveiktas
Galite sužinoti, ar jus paveikė ši klaida, apsilankę „FingerprintJS“ koncepcijos įrodymo puslapis. Vos vienu spustelėjimu jis parodo, kokius duomenis „Safari“ nutekina apie jus – ir visus „Google“ naudotojų ID, kuriuos ji gali aptikti. Tai tik paprasta programa, skirta demonstravimo tikslams, ir ji yra visiškai saugi.
FingerprintJS pranešė apie šią problemą per WebKit klaidų sekimo priemonę 2021 m. lapkričio 28 d. Kol kas tai nepataisyta. Taip pat mažai ką galite padaryti, kad apsisaugotumėte „Safari 15“, išskyrus visiškai blokuoti „JavaScript“. Tačiau tai neleis daugeliui svetainių veikti taip, kaip numatyta, ir tai nėra visiškai veiksminga.
Jei nerimaujate dėl šios problemos, geriau naudoti kitą žiniatinklio naršyklę, kol „Apple“ nepateiks pataisymo. Ir būtinai įdiekite visus „Safari“ naujinimus, kai tik jie bus pasiekiami.