Safari tekrar spot ışığında. Birkaç gün önce operatörler, web sayfalarının engellenmesini veya kullanıcıların göz atma geçmişini bilmesini önleyecek yeni bir işlev hakkında çok öfkeliydi. Şimdi, Safari'deki bir hata, saldırgan bilmek tüm geçmişiniz ve benzersiz Google hesabı tanımlayıcı.
The güvenlik açığı tarafından keşfedildi Parmak izi JS Etkilenen WebKit'in yaratıcılarıyla iletişime geçen ve düzeltmek için ücretsiz ve açık kaynak kodu sunan dolandırıcılık tespit hizmeti. Hata düzeltilmedi ve bu nedenle Fingerprint JS ekibi, düzeltme ekini hızlandırmak için güvenlik açığını herkese açık hale getirmeye karar verdi.
Hata yamalı değil
Kusur, kötü bir şekilde uygulanmasında yatmaktadır. IndexedDB API'si. Bu API, şu şekilde tasarlanmıştır: belgeler veya komut dosyaları bir siteden kaynaklı etkileşim kurma diğer kaynaklardan gelen kaynaklarla. Bir sekmede açılan bir web sitesi, her zaman birbirinden izole edilmiş olarak, başka bir sekmeyle veri paylaşamamalıdır. Aksi takdirde, bir kötü amaçlı yazılım, örneğin banka bilgilerimizi bilebilir.
Ancak Safari güvenlik açığı, ayrı web sayfalarının birbirleriyle etkileşime girmesine izin verdi. kullanıyorsanız safari 15 , Burada kullanım dizinlenmiş DB , bir web sitesi bir veritabanıyla her etkileşim kurduğunda, aynı tarayıcı oturumunda tüm etkin çerçeveler, sekmeler ve pencereler ile yeni ada sahip yeni, boş bir tane oluşturulur. Sonuç olarak, diğer web siteleri veritabanlarının adlarına erişebilir, örneğin bir Google hesabıyla ilgili bilgileri bilebilir.
Bu bilgiler arasında, bir Google hesabının benzersiz tanımlayıcısı . Bununla, bir saldırgan kişisel bilgileri elde edebilir ve kullanıcının ayrı ayrı sahip olduğu birden fazla hesabı tanımlayabilir. Araştırmacılardan oluşan ekip, 1,000 en çok ziyaret edilen web sitesi Alexa sıralamasına göre dünya, savunmasız endeksli veritabanlarını kullanan 30 tane var. Gizli modda veya özel modda göz atmak, mevcut bilgi miktarını sınırlamaya yardımcı olmasına rağmen sorunu çözmez.
Yama yapılırken Safari kullanmaktan kaçının
Güvenlik açığını keşfeden ekip, Google hesabı olan bir kullanıcının yakın zamanda açtığı veya eriştiği siteleri belirlemek için bir demo oluşturdu. Web, aşağıdaki durumlarda güvenlik açığının çalıştığı 20 belirli web sayfasını arar: Safari 15, macOS ile birlikte kullanılır, iOS 15 veya iPadOS 15 .
Yamalı olmadığı için etkilenmemek için yapılabilecek tek şey JavaScript'i engelleme , kullanmıyor Google hesapları veya başka bir web tarayıcısı kullanarak. İlginçtir, Apple Haziran 2020'de uygulamayı reddetti Safari'nin WebKit'inde 16 web API'si, gizlilik sorunu oluşturabileceklerini savunarak. Ancak birçoğu, bu hareketin kullanıcıları yerel iOS uygulamalarını kullanmaya zorlamak için yapıldığını savundu.
