Pratite nas preko RSS-aSafari ima bag koji može otkriti vaše lične podatke i ono što pretražujete
Vesti, 18.01.2022, 12:00 PM
Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google nalogom, objavio je FingerprintJS. Ranjivost proizilazi iz problema sa Appleovom implementacijom IndexedDB, API-ja koji čuva podatke u pregledaču.
Kako je objasnio FingerprintJS, IndexedDB se pridržava politike istog izvora, koja ograničava jedan izvor od interakcije sa podacima koji su prikupljeni na drugim mestima - drugim rečima, samo veb sajt koji generiše podatke može da im pristupi. Na primer, ako otvorite imejl nalog na jednoj kartici, a zatim otvorite zlonamernu veb stranicu u drugoj, politika istog izvora sprečava da zlonamerna stranica ima uvid u vaše imejlove.
FingerprintJS je otkrio da Appleova primena IndexedDB API-ja u Safariju 15 zapravo krši tu politiku. Kada veb sajt stupi u interakciju sa bazom podataka u Safariju, FingerprintJS kaže da se „nova (prazna) baza podataka sa istim imenom kreira u svim drugim aktivnim frejmovima, karticama i prozorima u okviru iste sesije pregledača”.
To znači da veb sajtovi mogu da vide nazive baza podataka kreiranih na drugim sajtovima, koje mogu da sadrže detalje o vašem identitetu. FingerprintJS kaže da sajtovi koji koriste vaš Google nalog, kao što su YouTube, Google kalendar i Google Keep, generišu baze podataka sa vašim jedinstvenim Google ID-om korisnika u svom imenu. Google ID korisnika omogućava Googleu da pristupi javno dostupnim informacijama korisnika, kao što je slika profila korisnika, koje zbog ovog baga u Safariju mogu biti otkrivene drugim veb sajtovima.
FingerprintJS je napravio demo koji korisnici mogu isprobati ako imaju Safari 15 i noviji na svom Mac-u, iPhone-u ili iPad-u. Demo koristi ovu ranjivost pregledača da identifikuje sajtove koje ste otvorili (ili nedavno otvorili) i pokazuje kako sajtovi koji iskorišćavaju grešku mogu da izvuku informacije sa vašeg korisničkog Google ID. Trenutno je tu samo 30 popularnih sajtova, kao što su Instagram, Netflix, Twitter, Xbox, ali bag verovatno utiče na mnogo više sajtova.
Nažalost, ne možete mnogo da uradite da biste izbegli curenje podataka, jer FingerprintJS kaže da greška takođe utiče na režim privatnog pregledanja u Safariju. Možete da koristite drugi pretraživač na macOS-u, ali Appleova zabrana endžina treće strane na iOS-u znači da su svi veb pregledači pogođeni. FingerprintJS je prijavio bag 28. novembra, ali još uvek nema ažuriranja za Safari.
Izdvojeno
Flickr upozorava na bezbednosni incident: otkrivene imejl i IP adrese korisnika
Platforma za deljenje fotografija Flickr obavestila je korisnike o mogućem bezbednosnom incidentu nakon što je ranjivost kod jednog eksternog provaj... Dalje
Broj phishing napada udvostručen, stručnjaci upozoravaju na uticaj veštačke inteligencije
Filteri bezbednosnih sistema tokom 2025. godine detektovali su jedan phishing mejl na svakih 19 sekundi — više nego dvostruko češće nego god... Dalje
Microsoft upozorava: sve češći napadi malvera za krađu podataka na macOS
Napadi u kojima se kradu osetljivi podaci više nisu samo problem Windowsa. Microsoft upozorava da se infostealer kampanje ubrzano šire i na macOS si... Dalje
Hakeri koriste „čiste“ imejlove i PDF dokumente za krađu Dropbox naloga
Rutinski poslovni imejl o „tenderu“ ili „nabavci“ može delovati dovoljno bezazleno da kliknete bez razmišljanja. Upravo na t... Dalje
Firefox dobija opciju za potpuno isključivanje AI funkcija jednim klikom
Mozilla je najavila novi odeljak u podešavanjima Firefox pregledača koji korisnicima omogućava da u potpunosti isključe sve generativne AI funkcij... Dalje
Pratite nas
Nagrade
Prijatelji
