Safari on takaisin valokeilassa. Muutama päivä sitten operaattorit olivat raivoissaan uudesta toiminnosta, joka estäisi verkkosivujen eston tai käyttäjien selaushistorian tuntemisen. Nyt Safarin virhe sallii hyökkääjälle tietää koko historiasi ja ainutlaatuisuutesi Google-tilin tunnistaa.
- alttius löysi Sormenjälki JS petosten havaitsemispalvelu, joka otti yhteyttä kyseisen WebKitin luojiin ja tarjosi ilmaista ja avointa lähdekoodia korjatakseen sen. Vikaa ei ole korjattu, ja tästä syystä Fingerprint JS -tiimi on päättänyt julkistaa haavoittuvuuden nopeuttaakseen sen korjausta.
Vikaa ei ole korjattu
Vika on huonossa toteutuksessa IndexedDB API. Tämä API on suunniteltu niin asiakirjoja tai käsikirjoituksia peräisin yhdeltä sivustolta älä ole vuorovaikutuksessa muista lähteistä peräisin olevilla resursseilla. Yhdessä välilehdessä avatun verkkosivuston ei pitäisi pystyä jakamaan tietoja toisen välilehden kanssa, koska ne kaikki ovat aina eristettyjä toisistaan. Muuten haittaohjelma voi tietää esimerkiksi pankkitietomme.
Safarin haavoittuvuus mahdollisti kuitenkin eri web-sivujen vuorovaikutuksen toistensa kanssa. Jos käytät Safari 15 , Joka käyttötarkoitukset IndeksoituDB , joka kerta kun verkkosivusto on vuorovaikutuksessa tietokannan kanssa, uusi, tyhjä uudella nimellä luodaan kaikki aktiiviset kehykset, välilehdet ja ikkunat samassa selainistunnossa. Seurauksena on, että muut sivustot pääsevät käsiksi tietokantojen nimiin ja voivat tietää esimerkiksi tietoja Google-tilistä.
Näihin tietoihin kuuluu mm Google-tilin yksilöllinen tunniste . Tämän avulla hyökkääjä voi hankkia henkilökohtaisia tietoja ja tunnistaa useita käyttäjätilejä erikseen. Tutkijaryhmä on havainnut, että 1,000 vierailluinta verkkosivustoa Alexa-luokituksen mukaan maailmassa on 30, jotka käyttävät haavoittuvia indeksoituja tietokantoja. Selaaminen incognito- tai yksityistilassa ei ratkaise ongelmaa, vaikka se auttaa rajoittamaan saatavilla olevan tiedon määrää.
Vältä Safarin käyttöä, kun sitä korjataan
Haavoittuvuuden löytänyt tiimi on luonut demon tunnistaakseen sivustot, jotka Google-tilin käyttäjä on äskettäin avannut tai käyttänyt. Verkko etsii 20 tiettyä verkkosivua, joilla haavoittuvuus toimii, jos Safari 15:tä käytetään macOS:n kanssa, iOS 15 tai iPadOS 15 .
Koska sitä ei ole korjattu, ainoa asia, joka voidaan tehdä, jotta se ei vaikuta siihen, on estää JavaScriptin , ei käytä Google-tilejä , tai käyttämällä toista verkkoselainta. Mielenkiintoista, omena kieltäytyi toteuttamasta kesäkuussa 2020 16 verkkosovellusliittymää Safarin WebKitissä, väittäen, että ne voivat aiheuttaa tietosuojaongelman. Monet kuitenkin väittivät, että tämä siirto tehtiin pakottaakseen käyttäjät käyttämään natiivi iOS-sovelluksia.
