Otkrivena je velika ranjivost u Appleovom pregledniku Safari
Ugrožena je povijest pregledavanja i pojedinosti o Google računu, a za sada se ne može učiniti previše
Ranjivost safarija mogla bi se iskoristiti za razotkrivanje povijesti nečijeg preglednika i moguće identiteta, piše Mashable. U subotnjem blog postu FingerprintJS, otkriva da je bug uveden u Safari 15 putem API-ja, indeksirane baze podataka (IndexedDB) koji je dio Appleovog preglednika WebKit. Jednostavnije rečeno, IndexedDB se može koristiti za pohranu podataka na vašem kompjuteru kao što su web lokacije koje ste posjetili, a to ih čini bržim za učitavanje kada im se kasnije vraćate.
IndexedDB obično slijedi sigurnosni mehanizam “politike istog porijekla” koji ne dopušta web lokacijama slobodnu interakciju jedna s drugom, osim ako nemaju isti naziv domene (među ostalim zahtjevima). Na primjer, Netflix ne može pristupiti spremljenim podacima IndexedDB kako bi otkrio da ste im bili nevjerni s YouTubeom.
Apple nije zakrpao propust još od studenog prošle godine
Nažalost, bug kojeg je otkrio FingerprintJS uzrokuje da IndexedDB prekrši politiku istog porijekla, izlažući podatke koje je prikupio o web stranicama onima s kojih ih nije prikupio. Što je još gore, neke web stranice, poput onih u Googleovoj mreži, koriste jedinstvene identifikatore, specifične za korisnike, u podacima koji se dostavljaju IndexedDB-u. To znači da, ako ste prijavljeni na svoj Google račun, prikupljeni podaci mogu se koristiti za preciznu identifikaciju vaše povijesti pregledavanja i pojedinosti o vašem računu. Ako ste prijavljeni na više računa, i to može otkriti.
“Ne samo da to implicira da nepouzdane i zlonamjerne web stranice mogu saznati identitet korisnika, već također omogućuje povezivanje više zasebnih računa koje koristi isti korisnik”, napisao je FingerprintJS. U demonstraciji su pokazali i vrstu informacija koje mogu biti otkrivene. FingerprintJS je pisao o bugu još krajem studenoga, ali Apple ga još uvijek nije riješio.
Za sada se ne može učiniti previše
Ovo je sve zabrinjavajuće, ali trenutno ne možete ništa učiniti. Pregledavanje u Safarijevom “private mode” može ublažiti potencijalnu štetu, budući da privatni način ne otkriva što ste pregledavali. Ali to još uvijek nije posve pouzdano. Posjetite li više različitih web lokacija unutar iste private tab, sve baze podataka s kojima ta mjesta imaju interakciju propuštaju se na sve naknadno posjećene web stranice, piše FingerprintJS.
Korisnici Maca mogu prijeći sa Safarija na drugi preglednik, ali ljudi koji koriste iOS ili iPadOS nemaju sreće. Iako je Safari utjecao samo na Mac, Appleov zahtjev da svi iOS i iPad web preglednici koriste WebKit, znači da je pogreška IndexedDB utjecala na svaki preglednik na ovim sustavima. Jedino što možemo učiniti je da čekamo Apple da to popravi, prebaciti se na android ili se jednostavno odjaviti, zaključuje Mashable.