Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete

Vesti, 18.01.2022, 12:00 PM

Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google nalogom, objavio je FingerprintJS. Ranjivost proizilazi iz problema sa Appleovom implementacijom IndexedDB, API-ja koji čuva podatke u pregledaču.

Kako je objasnio FingerprintJS, IndexedDB se pridržava politike istog izvora, koja ograničava jedan izvor od interakcije sa podacima koji su prikupljeni na drugim mestima - drugim rečima, samo veb sajt koji generiše podatke može da im pristupi. Na primer, ako otvorite imejl nalog na jednoj kartici, a zatim otvorite zlonamernu veb stranicu u drugoj, politika istog izvora sprečava da zlonamerna stranica ima uvid u vaše imejlove.

FingerprintJS je otkrio da Appleova primena IndexedDB API-ja u Safariju 15 zapravo krši tu politiku. Kada veb sajt stupi u interakciju sa bazom podataka u Safariju, FingerprintJS kaže da se „nova (prazna) baza podataka sa istim imenom kreira u svim drugim aktivnim frejmovima, karticama i prozorima u okviru iste sesije pregledača”.

To znači da veb sajtovi mogu da vide nazive baza podataka kreiranih na drugim sajtovima, koje mogu da sadrže detalje o vašem identitetu. FingerprintJS kaže da sajtovi koji koriste vaš Google nalog, kao što su YouTube, Google kalendar i Google Keep, generišu baze podataka sa vašim jedinstvenim Google ID-om korisnika u svom imenu. Google ID korisnika omogućava Googleu da pristupi javno dostupnim informacijama korisnika, kao što je slika profila korisnika, koje zbog ovog baga u Safariju mogu biti otkrivene drugim veb sajtovima.

FingerprintJS je napravio demo koji korisnici mogu isprobati ako imaju Safari 15 i noviji na svom Mac-u, iPhone-u ili iPad-u. Demo koristi ovu ranjivost pregledača da identifikuje sajtove koje ste otvorili (ili nedavno otvorili) i pokazuje kako sajtovi koji iskorišćavaju grešku mogu da izvuku informacije sa vašeg korisničkog Google ID. Trenutno je tu samo 30 popularnih sajtova, kao što su Instagram, Netflix, Twitter, Xbox, ali bag verovatno utiče na mnogo više sajtova.

Nažalost, ne možete mnogo da uradite da biste izbegli curenje podataka, jer FingerprintJS kaže da greška takođe utiče na režim privatnog pregledanja u Safariju. Možete da koristite drugi pretraživač na macOS-u, ali Appleova zabrana endžina treće strane na iOS-u znači da su svi veb pregledači pogođeni. FingerprintJS je prijavio bag 28. novembra, ali još uvek nema ažuriranja za Safari.