Safariは スポットライトに戻ります。 数日前、オペレーターはWebページのブロックやユーザーの閲覧履歴の把握を防ぐ新機能に激怒していました。 さて、Safariのバグは 攻撃者に 知っています あなたの歴史全体とあなたのユニーク Googleのアカウント 識別子。
脆弱性 によって発見されました 指紋JS 影響を受けたWebKitの作成者に連絡し、それを修正するための無料のオープンソースコードを提供した不正検出サービス。 バグは修正されていません。そのため、Fingerprint JSチームは、パッチ適用を高速化するために脆弱性を公開することを決定しました。
バグにはパッチが適用されていません
欠陥は、の悪い実装にあります インデックス DB API。 このAPIは、次のように設計されています。 ドキュメントまたはスクリプト XNUMXつのサイトから発信 相互作用しない 他のソースから発信されたリソースを使用します。 あるタブで開いたWebサイトは、別のタブとデータを共有できないようにする必要があります。すべてのタブは常に互いに分離されています。 そうしないと、マルウェアが銀行の詳細などを知る可能性があります。
ただし、Safariの脆弱性により、別々のWebページが相互に対話できるようになりました。 使用している場合 サファリ15 、その用途 IndexedDB 、Webサイトがデータベースと対話するたびに、同じブラウザセッション内のすべてのアクティブなフレーム、タブ、およびウィンドウで、新しい名前の新しい空のWebサイトが作成されます。 その結果、他のWebサイトがデータベースの名前にアクセスして、たとえばGoogleアカウントに関する情報を知ることができるようになります。
その情報の中には Googleアカウントの一意の識別子 。 これにより、攻撃者は個人情報を取得し、ユーザーが個別に所有している複数のアカウントを特定できます。 研究者のチームは、 で最も訪問された1,000のWebサイト Alexaランキングによると、世界には脆弱なインデックス付きデータベースを使用している30のデータベースがあります。 シークレットモードまたはプライベートモードでブラウジングしても問題は解決しませんが、利用できる情報の量を制限するのに役立ちます。
パッチが適用されている間はSafariを使用しないでください
脆弱性を発見したチームは、Googleアカウントを持つユーザーが最近開いたまたはアクセスしたサイトを特定するためのデモを作成しました。 Webは、脆弱性が機能する20の特定のWebページを検索します。 Safari15はmacOSで使用されます。 iOS 15、またはiPadOS 15 .
パッチが適用されていないため、影響を受けないようにするためにできることは JavaScriptをブロックする 、使用しない Googleアカウント 、または別のWebブラウザを使用します。 興味深いことに、 Apple 2020年XNUMX月に実施を拒否した SafariのWebKitにある16のWebAPI、 彼らはプライバシーの問題を引き起こす可能性があると主張している。 ただし、多くの人が、この動きはユーザーにネイティブiOSアプリの使用を強制するために行われたと主張しました。
