Niedawno odkryty błąd w przeglądarce Safari może spowodować wyciek niektórych informacji o naszym koncie Google oraz historii przeglądania. Niedobrze!
Safari ma lukę zabezpieczeń
Na blogu FingeprintJS opublikowano artykuł, w którym wyjaśniane są zagrożenia związane z błędem w przeglądarce Safari, który może poskutkować wyciekiem naszych prywatnych danych do sieci.
Na ile dziurawa jest przeglądarka? Na ten moment potwierdzono, że luka ułatwia zdobycie informacji o naszej historii przeglądania, a także niektóre dane dotyczące naszego konta Google na zalogowanym urządzeniu.
Błąd polega na niewłaściwej implementacji IndexedDB, co umożliwia stronie internetowej podgląd nazwy bazy danych nie tylko własnej, ale także każdej innej witryny. W prawidłowo zaimplementowanym IndexedDB (na przykład w Google Chrome), dana strona „widzi” tylko bazy danych utworzone przez nią samą. Nazwy baz danych można później wykorzystać do wyodrębnienia informacji identyfikujących użytkownika. Co to daje potencjalnemu hakerowi?
Usługi Google przechowują instancję IndexedDB dla każdego z zalogowanych kont, gdzie nazwa bazy danych odpowiada naszemu identyfikatorowi użytkownika Google. Specjalnie przygotowana witryna może te dane pobrać, a następnie użyć ich do odnalezienia innych informacji powiązanych z identyfikatorem – na przykład łatwo dotrzeć do naszego zdjęcia profilowego. Prawie każda strona internetowa, korzystająca z interfejsu JavaScript IndexedDB, może być wrażliwa na przejęcie takich danych.
Możecie sami sprawdzić, czy w Waszym wypadku Safari nie strzeże informacji tak, jak trzeba. Tę stronę należy odpalić z poziomu przeglądarki Apple.
Niepokojąca cisza w Apple
Z raportu wynika, że wszystkie aktualne wersje Safari na iPhonie, iPadzie i komputerach Mac mają wspomnianą lukę. FingerprintJS twierdzi, że problem był zgłoszony Apple już 28 listopada, ale firma w żaden sposób się do niego nie ustosunkowała. Być może ujawnienie tych informacji skłoni Cupertino do konkretnych działań.
