Pratite nas preko RSS-aSafari ima bag koji može otkriti vaše lične podatke i ono što pretražujete
Vesti, 18.01.2022, 12:00 PM
Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google nalogom, objavio je FingerprintJS. Ranjivost proizilazi iz problema sa Appleovom implementacijom IndexedDB, API-ja koji čuva podatke u pregledaču.
Kako je objasnio FingerprintJS, IndexedDB se pridržava politike istog izvora, koja ograničava jedan izvor od interakcije sa podacima koji su prikupljeni na drugim mestima - drugim rečima, samo veb sajt koji generiše podatke može da im pristupi. Na primer, ako otvorite imejl nalog na jednoj kartici, a zatim otvorite zlonamernu veb stranicu u drugoj, politika istog izvora sprečava da zlonamerna stranica ima uvid u vaše imejlove.
FingerprintJS je otkrio da Appleova primena IndexedDB API-ja u Safariju 15 zapravo krši tu politiku. Kada veb sajt stupi u interakciju sa bazom podataka u Safariju, FingerprintJS kaže da se „nova (prazna) baza podataka sa istim imenom kreira u svim drugim aktivnim frejmovima, karticama i prozorima u okviru iste sesije pregledača”.
To znači da veb sajtovi mogu da vide nazive baza podataka kreiranih na drugim sajtovima, koje mogu da sadrže detalje o vašem identitetu. FingerprintJS kaže da sajtovi koji koriste vaš Google nalog, kao što su YouTube, Google kalendar i Google Keep, generišu baze podataka sa vašim jedinstvenim Google ID-om korisnika u svom imenu. Google ID korisnika omogućava Googleu da pristupi javno dostupnim informacijama korisnika, kao što je slika profila korisnika, koje zbog ovog baga u Safariju mogu biti otkrivene drugim veb sajtovima.
FingerprintJS je napravio demo koji korisnici mogu isprobati ako imaju Safari 15 i noviji na svom Mac-u, iPhone-u ili iPad-u. Demo koristi ovu ranjivost pregledača da identifikuje sajtove koje ste otvorili (ili nedavno otvorili) i pokazuje kako sajtovi koji iskorišćavaju grešku mogu da izvuku informacije sa vašeg korisničkog Google ID. Trenutno je tu samo 30 popularnih sajtova, kao što su Instagram, Netflix, Twitter, Xbox, ali bag verovatno utiče na mnogo više sajtova.
Nažalost, ne možete mnogo da uradite da biste izbegli curenje podataka, jer FingerprintJS kaže da greška takođe utiče na režim privatnog pregledanja u Safariju. Možete da koristite drugi pretraživač na macOS-u, ali Appleova zabrana endžina treće strane na iOS-u znači da su svi veb pregledači pogođeni. FingerprintJS je prijavio bag 28. novembra, ali još uvek nema ažuriranja za Safari.
Izdvojeno
WhatsApp uvodi upozorenje pre kontakta sa nepoznatim brojevima
WhatsApp uvodi novu bezbednosnu funkciju koja će korisnike upozoravati pre nego što započnu razgovor sa nepoznatim brojem telefona, kako bi lakše ... Dalje
Google menja podešavanja privatnosti: proverite nova podešavanja naloga
Google uvodi nove kontrole privatnosti za usluge pretrage i Google Play koje korisnicima omogućavaju veću kontrolu nad istorijom aktivnosti i person... Dalje
LastPass potvrdio bezbednosni incident, lozinke korisnika nisu pogođene
Kompanija LastPass potvrdila je da je pogođena bezbednosnim incidentom povezanim sa platformom Klue, nakon što su napadači iskoristili ukradene OAu... Dalje
Više od 10 miliona korisnika izloženo riziku zbog propusta u AI Chrome ekstenzijama
Istraživači kompanije Rebora Security otkrili su ozbiljne bezbednosne propuste u dve popularne AI ekstenzije za Chrome, SiderAI i MaxAI, koji bi mog... Dalje
Hakeri koriste kompromitovane WhatsApp naloge za širenje malvera
Istraživači kompanije Kaspersky upozorili su na kampanju koja preko kompromitovanih WhatsApp naloga distribuira malver korisnicima u više zemalja ... Dalje
Pratite nas
Nagrade
Prijatelji
