Новооткривена грешка у Сафарију 15 омогућава било којој веб локацији да прати вашу активност прегледања и чак може открити ваш идентитет ако сте Гоогле корисник.
Проблем произилази из Аппле-ове имплементације ИндекедДБ, АПИ-ја за складиштење који је широко подржан од стране већине модерних претраживача, а утиче на кориснике на Мац-у, као и на иПхоне-у и иПад-у. Ево шта треба да знате.
Сафари 15 цури корисничке податке
ИндекедДБ је ЈаваСцрипт АПИ за веб претраживаче који је дизајниран да држи велике количине података, укључујући датотеке. Користи га широк спектар веб апликација за складиштење података на вашој машини тако да се брже учитавају и брже реагују.
ИндекедДБ користи оно што се зове „политика истог порекла“ — безбедносни механизам који ограничава начин на који документи или скриптови учитани из једног порекла могу да ступе у интеракцију са ресурсима из других извора. Другим речима, политика истог порекла спречава веб локацију да приступи подацима које је сачувао други.
Међутим, у Сафари 15
, грешка спречава да иста-оригинална политика исправно функционише. Ово веб локацијама даје приступ базама података које су креирали други сајтови, омогућавајући им да виде ваше навике прегледавања ван својих зидова. Штавише, грешка би чак могла да одаје ваш идентитет.Пазите, Гоогле корисници
„Штавише, приметили смо да у неким случајевима веб локације користе јединствене идентификаторе специфичне за кориснике у именима база података,“ објашњава ФингерпринтЈС, који је први открио проблем. "То значи да аутентификовани корисници могу бити јединствено и прецизно идентификовани."
То је зато што неке популарне Гоогле локације — укључујући ИоуТубе, Гоогле календар и Гоогле Кееп — креирају базе података које укључују ваш аутентификовани Гоогле кориснички ИД. Овај ИД је упарен са једним Гоогле налогом (вашим) и може се користити са Гоогле АПИ-јима за преузимање корисничких информација.
„Имајте на уму да ова цурења не захтевају никакву посебну радњу корисника“, упозорава се у извештају. „Картица или прозор који ради у позадини и непрекидно пита ИндекедДБ АПИ за доступне базе података, може сазнати које друге веб локације корисник посећује у реалном времену.“
Приватни режим вам не може помоћи
ФингерпринтЈС је проверио Алека-иних топ 1.000 веб локација да види колико користи ИндекедДБ и пронашао више од 30 који комуницирају са АПИ-јем директно на својој почетној страници — без икаквих посебних интеракција корисника потребан. Дакле, одређене веб локације би могле да изгребу ваше податке и ви не бисте знали ништа о томе.
„Сумњамо да је овај број знатно већи у сценаријима из стварног света јер веб локације могу да комуницирају са базама података на подстраницама, након одређених радњи корисника или на аутентификованим деловима странице.
Нажалост, грешка такође утиче на Сафаријев приватни режим. Међутим, пошто приватни режим ограничава сесије прегледања на једну картицу, то у великој мери смањује количину информација доступних на више сајтова.
Погледајте да ли сте погођени
Можете сазнати да ли сте погођени овом грешком тако што ћете посетити ФингерпринтЈС’ страница са доказом концепта. Са само једним кликом, он вам показује какве податке Сафари цури о вама — и све Гоогле ИД-ове корисника које може да открије. То је само једноставна апликација у сврху демонстрације и савршено је безбедна.
ФингерпринтЈС је пријавио овај проблем преко ВебКит програма за праћење грешака 28. новембра 2021. Још увек нема решења за то. Мало тога можете учинити да се заштитите у Сафарију 15, осим да у потпуности блокирате ЈаваСцрипт. Међутим, ово ће спречити многе веб локације да раде како је предвиђено и није у потпуности ефикасно.
Ако сте забринути због овог проблема, боље је да користите други веб прегледач док Аппле не уведе решење. И обавезно инсталирајте сва ажурирања за Сафари чим буду доступна.