Pratite nas preko RSS-aSafari ima bag koji može otkriti vaše lične podatke i ono što pretražujete
Vesti, 18.01.2022, 12:00 PM
Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google nalogom, objavio je FingerprintJS. Ranjivost proizilazi iz problema sa Appleovom implementacijom IndexedDB, API-ja koji čuva podatke u pregledaču.
Kako je objasnio FingerprintJS, IndexedDB se pridržava politike istog izvora, koja ograničava jedan izvor od interakcije sa podacima koji su prikupljeni na drugim mestima - drugim rečima, samo veb sajt koji generiše podatke može da im pristupi. Na primer, ako otvorite imejl nalog na jednoj kartici, a zatim otvorite zlonamernu veb stranicu u drugoj, politika istog izvora sprečava da zlonamerna stranica ima uvid u vaše imejlove.
FingerprintJS je otkrio da Appleova primena IndexedDB API-ja u Safariju 15 zapravo krši tu politiku. Kada veb sajt stupi u interakciju sa bazom podataka u Safariju, FingerprintJS kaže da se „nova (prazna) baza podataka sa istim imenom kreira u svim drugim aktivnim frejmovima, karticama i prozorima u okviru iste sesije pregledača”.
To znači da veb sajtovi mogu da vide nazive baza podataka kreiranih na drugim sajtovima, koje mogu da sadrže detalje o vašem identitetu. FingerprintJS kaže da sajtovi koji koriste vaš Google nalog, kao što su YouTube, Google kalendar i Google Keep, generišu baze podataka sa vašim jedinstvenim Google ID-om korisnika u svom imenu. Google ID korisnika omogućava Googleu da pristupi javno dostupnim informacijama korisnika, kao što je slika profila korisnika, koje zbog ovog baga u Safariju mogu biti otkrivene drugim veb sajtovima.
FingerprintJS je napravio demo koji korisnici mogu isprobati ako imaju Safari 15 i noviji na svom Mac-u, iPhone-u ili iPad-u. Demo koristi ovu ranjivost pregledača da identifikuje sajtove koje ste otvorili (ili nedavno otvorili) i pokazuje kako sajtovi koji iskorišćavaju grešku mogu da izvuku informacije sa vašeg korisničkog Google ID. Trenutno je tu samo 30 popularnih sajtova, kao što su Instagram, Netflix, Twitter, Xbox, ali bag verovatno utiče na mnogo više sajtova.
Nažalost, ne možete mnogo da uradite da biste izbegli curenje podataka, jer FingerprintJS kaže da greška takođe utiče na režim privatnog pregledanja u Safariju. Možete da koristite drugi pretraživač na macOS-u, ali Appleova zabrana endžina treće strane na iOS-u znači da su svi veb pregledači pogođeni. FingerprintJS je prijavio bag 28. novembra, ali još uvek nema ažuriranja za Safari.
Izdvojeno
Hakeri na dark webu prodaju alat za zloupotrebu zakrpljene Windows ranjivosti za 220.000 dolara
Na jednom hakerskom forumu na dark webu pojavio se oglas za prodaju eksploita za zakrpljenu Windows ranjivost po ceni od 220.000 dolara, objavljen u d... Dalje
Evropski sud pravde: banke u EU moraće odmah da vrate novac žrtvama fišinga
Banke u Evropskoj uniji mogle bi uskoro biti obavezne da odmah vrate novac žrtvama fišing prevara, čak i kada je korisnik možda doprineo prevari. ... Dalje
Microsoft upozorava na ClickFix napad koji koristi Windows Terminal za širenje Lumma Stealer-a
Microsoft je otkrio novu ClickFix kampanju socijalnog inženjeringa koja koristi Windows Terminal za pokretanje sofisticiranog napada i instalaciju ma... Dalje
„Putevi Srbije“ upozoravaju na lažne SMS poruke o neplaćenoj putarini i prekoračenju brzine
Javno preduzeće „Putevi Srbije“ ponovo je upozorilo građane na zlonamerne SMS poruke koje se šalju u njihovo ime, a u kojima se tvrdi d... Dalje
Google Chrome prelazi na dvonedeljni ciklus izdanja
Google je najavio da će Chrome preći sa četvoronedeljnog na dvonedeljni ciklus objavljivanja, što znači da će nove funkcije, ispravke grešaka i... Dalje
Pratite nas
Nagrade
Prijatelji
