A WebKitben az IndexedDB nevű JavaScript API implementációjának hibája felfedheti a böngészési előzményeket és akár a személyazonosságunkat is – derül ki a FingerprintJS blogbejegyzéséből.
Dióhéjban a hiba lehetővé teszi, hogy az IndexedDB-t használó bármely weboldal hozzáférjen a felhasználó böngészési munkamenete során más weboldalak által generált IndexedDB adatbázisok neveihez. A hiba lehetővé teheti, hogy egy weboldal nyomon követhesse a felhasználó által különböző lapokon vagy ablakokban meglátogatott más weboldalakat, mivel az adatbázisnevek gyakran egyediek és az egyes weboldalakra jellemzőek. A helyes és normális viselkedésnek annak kellene lennie, hogy a webhelyek csak a saját IndexedDB-adatbázisukhoz férhetnek hozzá.
Bizonyos esetekben a webhelyek egyedi, felhasználó-specifikus azonosítókat használnak az IndexedDB adatbázisnevekben. A YouTube például olyan adatbázisokat hoz létre, amelyek nevében szerepel a felhasználó hitelesített Google felhasználói azonosítója, és ez az azonosító a FingerprintJS szerint a Google API-kkal felhasználható a felhasználó személyes adatainak, például profilképének lekérdezésére. Ezek a személyes információk segíthetnek egy rosszindulatú szereplőnek a felhasználó személyazonosságának megállapításában.
A hiba az Apple nyílt forráskódú böngészőmotorját, a WebKitet használó böngészők újabb verzióit érinti, beleértve a Safari 15 Maces iOS- és iPadOS 15-ös verzióit. A hiba harmadik féltől származó böngészőket, például a Chrome-ot is érinti az iOS- és az iPadOS 15 rendszereken, mivel az Apple minden böngészőnek a WebKit használatát írja elő az iPhone és iPad készülékeken. A FingerprintJS élőben mutatja be a hibát, amely szerint a régebbi böngészők, például a Safari 14 for Mac nem érintett.
A FingerprintJS megjegyezte, hogy nincs szükség felhasználói műveletre ahhoz, hogy egy weboldal hozzáférjen a más weboldalak által generált IndexedDB adatbázisnevekhez.
Egy olyan lap vagy ablak, amely a háttérben fut, és folyamatosan lekérdezi az IndexedDB API-t az elérhető adatbázisok után, valós időben megtudhatja, hogy a felhasználó milyen más webhelyeket látogat. Alternatívaként a webhelyek bármely webhelyet megnyithatnak egy iframe vagy felugró ablakban, hogy az adott webhely IndexedDB-alapú szivárgását kiváltsák.
A privát böngészési mód nem véd az érintett Safari-verziókban a hiba ellen.
A felhasználóknak meg kell várniuk, hogy az Apple szoftverfrissítésekkel kezelje a hibát. Addig is a Safari 15 felhasználók ideiglenesen át tudnak váltani egy másik böngészőre a Macen, de ez nem lehetséges az iPhone-on vagy az iPaden, mivel ezeken a készülékeken minden böngészőt érint a WebKit hiba.
