17. Januara 2022.

Ozbiljna greška u Safariju otkriva lične podatke korisnika iPhone-a, iPad-a i Mac-a

Big Portal

Grešku pronađenu u interfejsu za programiranje aplikacija (API) koji koristi i podržava većina pretraživača napadači mogu koristiti da saznaju mnoge stvari o vama.

Programeri koriste API za povezivanje delova softvera sa drugim softverom što olakšava razvoj programa. Jedan takav API, nazvan IndexedDB, podržava većina glavnih pretraživača i sadrži ono što se u izveštaju naziva „značajnom količinom podataka“.

Greška u iOS 15, iPadOS 15 i macOS omogućava nasumičnim veb lokacijama da znaju koje druge sajtove korisnik posećuje na drugim prozorima i karticama. To je moguće jer sajtovi poput YouTube-a, Google kalendara i Google Keep-a koriste „jedinstvene identifikatore specifične za korisnike“ u nazivima svojih baza podataka. Kao rezultat toga, autentifikovani korisnici se mogu identifikovati jer gorepomenuti sajtovi kreiraju baze podataka koje uključuju Google ID korisnika koji pripada korisniku, a baze podataka se otvaraju za sve naloge koji se koriste.

Google ID korisnika vodi napadača do mnoštva ličnih podataka. Svaki od njih se može koristiti za identifikaciju određenog Google naloga i u kombinaciji sa Google API-jima, može, u najmanju ruku, da otkrije sliku vašeg profila hakeru. Takođe bi moglo da pomogne napadaču da pokupipi mnogo više ličnih podataka i otkrije „više zasebnih naloga“ u vlasništvu istog korisnika, piše Phonearena.

Nažalost, ovo ne zahteva od vas da izvršite bilo kakvu specifičnu radnju jer izveštaj navodi „Kartica ili prozor koji se pokreće u pozadini i neprekidno pita IndexedDB API za dostupne baze podataka, može saznati koje druge veb lokacije korisnik posećuje u realnom vremenu. Alternativno, veb lokacije mogu da otvore bilo koju veb lokaciju u iframe-u ili iskačućem prozoru kako bi pokrenule curenje zasnovano na IndexedDB-u za tu konkretnu lokaciju.”



FingerprintJS je proverio sa 1.000 najposećenijih Alexa sajtova i otkrio da 30 stupa u interakciju sa indeksiranim bazama podataka direktno na njihovoj početnoj stranici, bez ikakve interakcije ili autentifikacije koju korisnik zahteva. Čak i ako osoba koristi privatni režim u Safariju, ako poseti više veb lokacija koristeći istu karticu, sve baze podataka sa kojima je bila u interakciji procure na sajtove koje korisnik naknadno posećuje.

Safari korisnik ne može mnogo da uradi ako koristi iOS 15 ili iPadOS 15. Jedan od predloga je da se podrazumevano blokira sav JavaScript i dozvoli samo na sajtovima kojima se 100% veruje. Korisnici Mac-a mogu da menjaju pretraživače da bi izbegli ovu grešku, ali ovo nije rešenje za iOS 15 ili iPadOS 15. Treba istaći da je grešku FingerprintJS dostavio WebKit Tracker-u grešaka 28. novembra 2021. kao grešku 233548.

Ako želite da proverite ovo na svom iPhone-u ili iPad-u, otvorite Safari i usmerite ga na safarileaks.com i pratite jednostavna uputstva. Brzo se pojavljuje ime poslednjeg sajta koji ste posetili (ako je to bio jedan od sajtova navedenih na Demo stranici) i može se pristupiti vašem jedinstvenom Google korisničkom ID-u.

Iskreno, jedino rešenje koje imate je da sačekate da Apple ažurira iOS i iPadOS softver i obavezno ga instalirate čim bude objavljen. Opet, ako koristite Mac, promena pretraživača je važeća opcija, iako to nije slučaj sa iOS-om i iPadOS-om. I imajte na umu da korisnici ne moraju da izvrše nikakvu određenu radnju da bi pokrenuli ovu grešku.

Benchmark.

Podijeli vijest na:

Pretplata
Obavijesti o
guest

0 Komentara
Inline Feedbacks
Pregledaj sve komentare