IThon.hu | Techben otthon vagyunk!

Veszélyezteti személyes adataink biztonságát a Safari

A WebKitben az IndexedDB nevű JavaScript API implementációjának hibája felfedheti a böngészési előzményeket és akár a személyazonosságunkat is – derül ki a FingerprintJS blogbejegyzéséből.

Dióhéjban a hiba lehetővé teszi, hogy az IndexedDB-t használó bármely weboldal hozzáférjen a felhasználó böngészési munkamenete során más weboldalak által generált IndexedDB adatbázisok neveihez. A hiba lehetővé teheti, hogy egy weboldal nyomon követhesse a felhasználó által különböző lapokon vagy ablakokban meglátogatott más weboldalakat, mivel az adatbázisnevek gyakran egyediek és az egyes weboldalakra jellemzőek. A helyes és normális viselkedésnek annak kellene lennie, hogy a webhelyek csak a saját IndexedDB-adatbázisukhoz férhetnek hozzá.

Bizonyos esetekben a webhelyek egyedi, felhasználó-specifikus azonosítókat használnak az IndexedDB adatbázisnevekben. A YouTube például olyan adatbázisokat hoz létre, amelyek nevében szerepel a felhasználó hitelesített Google felhasználói azonosítója, és ez az azonosító a FingerprintJS szerint a Google API-kkal felhasználható a felhasználó személyes adatainak, például profilképének lekérdezésére. Ezek a személyes információk segíthetnek egy rosszindulatú szereplőnek a felhasználó személyazonosságának megállapításában.

A hiba az Apple nyílt forráskódú böngészőmotorját, a WebKitet használó böngészők újabb verzióit érinti, beleértve a Safari 15 Maces iOS- és iPadOS 15-ös verzióit. A hiba harmadik féltől származó böngészőket, például a Chrome-ot is érinti az iOS- és az iPadOS 15 rendszereken, mivel az Apple minden böngészőnek a WebKit használatát írja elő az iPhone és iPad készülékeken. A FingerprintJS élőben mutatja be a hibát, amely szerint a régebbi böngészők, például a Safari 14 for Mac nem érintett.

A FingerprintJS megjegyezte, hogy nincs szükség felhasználói műveletre ahhoz, hogy egy weboldal hozzáférjen a más weboldalak által generált IndexedDB adatbázisnevekhez.

Egy olyan lap vagy ablak, amely a háttérben fut, és folyamatosan lekérdezi az IndexedDB API-t az elérhető adatbázisok után, valós időben megtudhatja, hogy a felhasználó milyen más webhelyeket látogat. Alternatívaként a webhelyek bármely webhelyet megnyithatnak egy iframe vagy felugró ablakban, hogy az adott webhely IndexedDB-alapú szivárgását kiváltsák.

A privát böngészési mód nem véd az érintett Safari-verziókban a hiba ellen.

A felhasználóknak meg kell várniuk, hogy az Apple szoftverfrissítésekkel kezelje a hibát. Addig is a Safari 15 felhasználók ideiglenesen át tudnak váltani egy másik böngészőre a Macen, de ez nem lehetséges az iPhone-on vagy az iPaden, mivel ezeken a készülékeken minden böngészőt érint a WebKit hiba.

Kapcsolódó cikkeink

Megjelent a watchOS 9

Anikó

Megjelent az iOS 16

Anikó

Érkeznek az Apple Far Out eseményének legnagyobb bejelentései

Anikó