Safari är tillbaka i rampljuset. För några dagar sedan var operatörerna rasande över en ny funktion som skulle förhindra att webbsidor blockeras eller att känna till användarnas surfhistorik. Nu tillåter en bugg i Safari en angripare till vet hela din historia och din unika Google-konto identifierare.
Smakämnen sårbarhet upptäcktes av Fingeravtryck JS bedrägeriupptäcktstjänst, som kontaktade skaparna av det berörda WebKit och erbjöd gratis och öppen källkod för att fixa det. Felet har inte åtgärdats, och av denna anledning har Fingerprint JS-teamet beslutat att göra sårbarheten offentlig för att påskynda korrigeringen.
Felet är inte åtgärdat
Felet ligger i en dålig implementering av IndexedDB API. Detta API är utformat så att dokument eller manus kommer från en plats interagera inte med resurser som kommer från andra källor. En webbplats som öppnas på en flik ska inte kunna dela data med en annan flik, eftersom alla alltid är isolerade från varandra. Annars kan en skadlig programvara känna till, till exempel, våra bankuppgifter.
Safari-sårbarheten gjorde det dock möjligt för separata webbsidor att interagera med varandra. Om du använder Safari 15 , Som använder Indexerad DB , varje gång en webbplats interagerar med en databas skapas en ny, tom med det nya namnet med alla aktiva ramar, flikar och fönster i samma webbläsarsession. Konsekvensen är att andra webbplatser kan komma åt namnen på databaserna, kunna veta till exempel information om ett Google-konto.
Bland den informationen finns unik identifierare för ett Google-konto . Med detta kan en angripare få personlig information och identifiera flera konton som användaren har separat. Teamet av forskare har upptäckt att av 1,000 XNUMX mest besökta webbplatser i världen enligt Alexa-rankingen är det 30 som använder sårbara indexerade databaser. Att surfa i inkognitoläge eller privat läge löser inte problemet, även om det hjälper till att begränsa mängden tillgänglig information.
Undvik att använda Safari medan den korrigeras
Teamet som upptäckte sårbarheten har skapat en demo för att identifiera webbplatser som en användare med ett Google-konto nyligen har öppnat eller besökt. Webben söker efter 20 specifika webbsidor där sårbarheten fungerar om Safari 15 används med macOS, iOS 15 eller iPadOS 15 .
Eftersom den inte är lappad är det enda som kan göras för att undvika att drabbas blockerar JavaScript , använder inte Google-konton , eller med en annan webbläsare. Intressant, Apple vägrade i juni 2020 att genomföra 16 webb-API:er i Safaris WebKit, hävdar att de kan utgöra en integritetsfråga. Men många hävdade att detta steg gjordes för att tvinga användare att använda inbyggda iOS-appar.
