Według badaczy z FingerprintJS błąd przeglądarki Safari 15 pozwala każdej witrynie śledzić aktywność online użytkownika i potencjalnie ujawniać jego tożsamość.
„Niestety,” Firma powiedziała w pościeUżytkownicy Safari, iPadOS i iOS nie mogą zrobić zbyt wiele, aby chronić się bez podejmowania drastycznych środków. Jedną z opcji może być domyślne zablokowanie całego JavaScriptu i zezwolenie na korzystanie z niego tylko w zaufanych witrynach. To sprawia, że współczesne przeglądanie stron internetowych jest niewygodne i może nie być dobre rozwiązanie dla każdego.
Co więcej, luki w zabezpieczeniach, takie jak cross-site scripting, umożliwiają również atakowanie za pośrednictwem zaufanych witryn, chociaż ryzyko jest znacznie mniejsze. Inną alternatywą dla użytkowników Safari na komputerach Mac jest tymczasowe przełączenie się na inną przeglądarkę.
Jednak nie jest to opcja w iOS i iPadOS, ponieważ dotyczy to wszystkich przeglądarek, więc użytkownicy tych platform muszą poczekać, aż Apple wyda poprawkę.
Jak czytamy w raporcie, przeciek dotyczy również trybu prywatnego Safari 15. Podczas gdy sesje przeglądania w prywatnych oknach Safari są ograniczone do jednej karty, co zmniejsza ilość informacji dostępnych przez wyciek, jeśli użytkownik odwiedza kilka różnych witryn na tej samej karcie, wszystkie bazy danych, z którymi te witryny wchodzą w interakcję, wyciekają do wszystkich. Później odwiedzane strony internetowe.
Problem tkwi w interfejsie IndexedDB API, który pozwala dowolnej witrynie śledzić aktywność użytkowników w Internecie. Raport zauważa, że IndexedDB to interfejs API przeglądarki do przechowywania po stronie klienta, zaprojektowany do przechowywania dużych ilości danych. Jest obsługiwany we wszystkich głównych i popularnych przeglądarkach. Ponieważ IndexedDB jest niskopoziomowym API, wielu programistów decyduje się na używanie wrapperów, które usuwają większość aspektów technicznych i zapewniają łatwiejszy w użyciu i bardziej przyjazny programistom API.
Sekwencje indeksowane DB polityka tego samego pochodzenia, Podstawowy mechanizm bezpieczeństwa, który ogranicza sposób, w jaki dokumenty lub skrypty ładowane z jednego źródła wchodzą w interakcję z zasobami z innych zasobów. Pochodzenie jest określane przez system (protokół), nazwę hosta (domena) i port adresu URL używanego do uzyskania do niego dostępu. Raport mówi, że zindeksowane bazy danych są połączone z konkretnym zasobem. Dokumenty lub skrypty połączone z różnymi zasobami nigdy nie powinny mieć możliwości interakcji z bazami danych połączonymi z innymi zasobami.
Jednak naukowcy twierdzą, że w Safari 15 na macOS oraz we wszystkich przeglądarkach na iOS i iPadOS 15 interfejs IndexedDB API narusza te same zasady dotyczące źródła. Za każdym razem, gdy witryna wchodzi w interakcję z bazą danych, nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych oknach, kartach i oknach w tej samej sesji przeglądarki. Okna i karty zwykle korzystają z tej samej sesji, chyba że na przykład przełączysz się na inny profil w Chrome lub otworzysz okno prywatne.
„Fakt, że nazwy baz danych wyciekają z różnych źródeł, jest wyraźnym naruszeniem prywatności” – twierdzą naukowcy. „Pozwala losowym stronom internetowym dowiedzieć się, jakie strony odwiedza użytkownik w różnych zakładkach lub oknach. Jest to możliwe, ponieważ nazwy baz danych są zwykle unikalne i specyficzne dla strony. Ponadto zauważyliśmy, że w niektórych przypadkach strony internetowe używają unikalnych, specyficznych dla użytkownika identyfikatorów w bazie danych nazwy.Oznacza to, że uwierzytelnieni użytkownicy mogą być jednoznacznie i dokładnie identyfikowani.
„Oznacza to, że uwierzytelnieni użytkownicy mogą być jednoznacznie i dokładnie zidentyfikowani. Typowymi przykładami są YouTube, Kalendarz Google lub Google Keep. Wszystkie te witryny tworzą bazy danych zawierające uwierzytelniony identyfikator użytkownika Google, a jeśli użytkownik jest zalogowany na wiele kont, bazy danych są tworzone dla wszystkie te konta.
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.
