Un alt defect de securitate foarte grav pe Mac vă permite să vă spionați contul Google

Safari este înapoi în lumina reflectoarelor. În urmă cu câteva zile, operatorii erau furioși în legătură cu o nouă funcție care ar împiedica blocarea paginilor web sau cunoașterea istoricului de navigare al utilizatorilor. Acum, o eroare în Safari permite un atacator la ști întreaga ta istorie și unic Cont Google identificator.

vulnerabilitate a fost descoperit de către Amprenta digitală JS serviciul de detectare a fraudelor, care a contactat creatorii WebKit-ului afectat și a oferit cod sursă gratuit și deschis pentru a o remedia. Bug-ul nu a fost remediat, iar din acest motiv echipa Fingerprint JS a decis să facă publică vulnerabilitatea pentru a-i accelera corecțiile.

Un alt defect de securitate foarte grav pe Mac

Bug-ul nu este corectat

Defectul constă într-o implementare proastă a API-ul IndexedDB. Acest API este conceput astfel încât documente sau scripturi provenind dintr-un singur site nu interacționați cu resurse provenite din alte surse. Un site web deschis într-o singură filă nu ar trebui să poată partaja date cu o altă filă, toate fiind întotdeauna izolate unele de altele. În caz contrar, un malware ar putea cunoaște, de exemplu, detaliile noastre bancare.

Cu toate acestea, vulnerabilitatea Safari a permis paginilor web separate să interacționeze între ele. Daca folosesti Safari 15 , Care utilizări indexedDB , de fiecare dată când un site web interacționează cu o bază de date, este creat unul nou, gol, cu noul nume, cu toate cadrele, filele și ferestrele active în aceeași sesiune de browser. Consecința este că alte site-uri web pot accesa numele bazelor de date, putând cunoaște, de exemplu, informații despre un cont Google.

Safari

Printre aceste informații se numără și identificatorul unic al unui cont Google . Cu aceasta, un atacator poate obține informații personale și poate identifica mai multe conturi pe care utilizatorul le are separat. Echipa de cercetători a descoperit că, din 1,000 de site-uri web cele mai vizitate în în lume, conform clasamentului Alexa, sunt 30 care folosesc baze de date indexate vulnerabile. Navigarea în modul incognito sau în modul privat nu rezolvă problema, deși ajută la limitarea cantității de informații disponibile.

Evitați să utilizați Safari în timp ce este corectat

Echipa care a descoperit vulnerabilitatea a creat o demonstrație pentru a identifica site-urile pe care un utilizator cu un cont Google le-a deschis sau accesat recent. Web-ul caută 20 de pagini web specifice în care vulnerabilitatea funcționează dacă Safari 15 este utilizat cu macOS, iOS 15 sau iPadOS 15 .

Deoarece nu este patch-at, singurul lucru care se poate face pentru a nu fi afectat este blocarea JavaScript , nu folosesc Conturi Google , sau folosind alt browser web. Interesant, Apple a refuzat în iunie 2020 să pună în aplicare 16 API-uri web în WebKit-ul Safari, argumentând că ar putea pune o problemă de confidențialitate. Cu toate acestea, mulți au susținut că această mișcare a fost făcută pentru a forța utilizatorii să folosească aplicații native iOS.