Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete
Vesti, 18.01.2022, 12:00 PM

Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google nalogom, objavio je FingerprintJS. Ranjivost proizilazi iz problema sa Appleovom implementacijom IndexedDB, API-ja koji čuva podatke u pregledaču.
Kako je objasnio FingerprintJS, IndexedDB se pridržava politike istog izvora, koja ograničava jedan izvor od interakcije sa podacima koji su prikupljeni na drugim mestima - drugim rečima, samo veb sajt koji generiše podatke može da im pristupi. Na primer, ako otvorite imejl nalog na jednoj kartici, a zatim otvorite zlonamernu veb stranicu u drugoj, politika istog izvora sprečava da zlonamerna stranica ima uvid u vaše imejlove.
FingerprintJS je otkrio da Appleova primena IndexedDB API-ja u Safariju 15 zapravo krši tu politiku. Kada veb sajt stupi u interakciju sa bazom podataka u Safariju, FingerprintJS kaže da se „nova (prazna) baza podataka sa istim imenom kreira u svim drugim aktivnim frejmovima, karticama i prozorima u okviru iste sesije pregledača”.
To znači da veb sajtovi mogu da vide nazive baza podataka kreiranih na drugim sajtovima, koje mogu da sadrže detalje o vašem identitetu. FingerprintJS kaže da sajtovi koji koriste vaš Google nalog, kao što su YouTube, Google kalendar i Google Keep, generišu baze podataka sa vašim jedinstvenim Google ID-om korisnika u svom imenu. Google ID korisnika omogućava Googleu da pristupi javno dostupnim informacijama korisnika, kao što je slika profila korisnika, koje zbog ovog baga u Safariju mogu biti otkrivene drugim veb sajtovima.
FingerprintJS je napravio demo koji korisnici mogu isprobati ako imaju Safari 15 i noviji na svom Mac-u, iPhone-u ili iPad-u. Demo koristi ovu ranjivost pregledača da identifikuje sajtove koje ste otvorili (ili nedavno otvorili) i pokazuje kako sajtovi koji iskorišćavaju grešku mogu da izvuku informacije sa vašeg korisničkog Google ID. Trenutno je tu samo 30 popularnih sajtova, kao što su Instagram, Netflix, Twitter, Xbox, ali bag verovatno utiče na mnogo više sajtova.
Nažalost, ne možete mnogo da uradite da biste izbegli curenje podataka, jer FingerprintJS kaže da greška takođe utiče na režim privatnog pregledanja u Safariju. Možete da koristite drugi pretraživač na macOS-u, ali Appleova zabrana endžina treće strane na iOS-u znači da su svi veb pregledači pogođeni. FingerprintJS je prijavio bag 28. novembra, ali još uvek nema ažuriranja za Safari.

Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade