Το Safari Bug επιτρέπει στους ιστότοπους να παρακολουθούν την πρόσφατη δραστηριότητα περιήγησής σας σε πραγματικό χρόνο

Ένα σφάλμα σε μια εφαρμογή WebKit ενός JavaScript API που ονομάζεται IndexedDB θα μπορούσε να αποκαλύψει το πρόσφατο ιστορικό περιήγησής σας, ακόμη και την ταυτότητά σας, σύμφωνα με Ανάρτηση Κοινοποιήθηκε την Παρασκευή από την υπηρεσία δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης FingerprintJS.


Εν ολίγοις, το σφάλμα επιτρέπει σε οποιονδήποτε ιστότοπο που χρησιμοποιεί τη βάση δεδομένων με ευρετήριο να έχει πρόσβαση στα ονόματα των βάσεων δεδομένων IndexedDB που δημιουργήθηκαν από άλλους ιστότοπους κατά τη διάρκεια της περιόδου σύνδεσης περιήγησης του χρήστη. Το σφάλμα θα μπορούσε να επιτρέψει σε έναν ιστότοπο να παρακολουθεί άλλους ιστότοπους που επισκέπτεται ο χρήστης σε διαφορετικές καρτέλες ή παράθυρα, καθώς τα ονόματα βάσεων δεδομένων είναι συχνά μοναδικά και συγκεκριμένα για κάθε ιστότοπο. Η σωστή και κανονική συμπεριφορά θα πρέπει να είναι ότι οι ιστότοποι μπορούν να έχουν πρόσβαση μόνο στις βάσεις δεδομένων IndexedDB τους.

Σε ορισμένες περιπτώσεις, οι ιστότοποι χρησιμοποιούν μοναδικά αναγνωριστικά για συγκεκριμένους χρήστες στα ονόματα της βάσης δεδομένων IndexedDB. Για παράδειγμα, το YouTube δημιουργεί βάσεις δεδομένων που περιλαμβάνουν ένα πιστοποιημένο αναγνωριστικό χρήστη Google στο όνομα και αυτό το αναγνωριστικό μπορεί να χρησιμοποιηθεί με τα API της Google για τη λήψη προσωπικών πληροφοριών σχετικά με τον χρήστη, όπως μια εικόνα προφίλ, σύμφωνα με το FingerprintJS. Αυτά τα προσωπικά στοιχεία μπορούν να βοηθήσουν τον κακόβουλο παράγοντα στην αναγνώριση του χρήστη.

Το σφάλμα επηρεάζει νεότερες εκδόσεις προγραμμάτων περιήγησης που χρησιμοποιούν τη μηχανή προγράμματος περιήγησης WebKit ανοιχτού κώδικα της Apple, συμπεριλαμβανομένου του Safari 15 για Mac και του Safari σε όλες τις εκδόσεις του iOS 15 και του iPadOS 15. Το σφάλμα επηρεάζει επίσης προγράμματα περιήγησης τρίτων όπως το Chrome σε iOS 15 και iPadOS 15 . όπως η Apple απαιτεί από όλα τα προγράμματα περιήγησης να χρησιμοποιούν το WebKit σε iPhone και iPad. Το FingerprintJS έχει ένα αρχείο Ζωντανή εμφάνιση σφαλμάτων Υποδεικνύει ότι τα παλαιότερα προγράμματα περιήγησης όπως το Safari 14 για Mac δεν επηρεάζονται.

Η FingerprintJS σημείωσε ότι δεν απαιτείται καμία ενέργεια χρήστη για την πρόσβαση στα ονόματα βάσεων δεδομένων IndexedDB που δημιουργούνται από άλλους ιστότοπους.

Η ανάρτηση ιστολογίου ανέφερε ότι “μια καρτέλα ή ένα παράθυρο που εκτελείται στο παρασκήνιο και ρωτά συνεχώς το IndexedDB API για διαθέσιμες βάσεις δεδομένων μπορεί να πει σε πραγματικό χρόνο ποιους άλλους ιστότοπους επισκέπτεται ο χρήστης.” Εναλλακτικά, οι ιστότοποι μπορούν να ανοίξουν οποιονδήποτε ιστότοπο σε iframe ή αναδυόμενο παράθυρο, προκειμένου να ενεργοποιηθεί μια διαρροή βάσει ευρετηρίου για τον συγκεκριμένο ιστότοπο.

Η λειτουργία ιδιωτικής περιήγησης δεν προστατεύει από το σφάλμα στις επηρεαζόμενες εκδόσεις του Safari.

Οι χρήστες θα πρέπει να περιμένουν την Apple να αντιμετωπίσει το σφάλμα με ενημερώσεις λογισμικού – Επικοινωνήσαμε με την Apple για να δούμε εάν έχει προγραμματιστεί μια διόρθωση. Στο μεταξύ, οι χρήστες του Safari 15 μπορούν προσωρινά να μεταβούν σε διαφορετικό πρόγραμμα περιήγησης σε Mac, αλλά αυτό δεν είναι δυνατό σε iPhone ή iPad, καθώς όλα τα προγράμματα περιήγησης επηρεάζονται από το σφάλμα WebKit σε αυτές τις συσκευές.

Το σφάλμα αναφέρθηκε στο WebKit Bug Tracker στις 28 Νοεμβρίου. Περισσότερες λεπτομέρειες μπορείτε να βρείτε στο Ανάρτηση ιστολογίου FingerprintJS, προηγουμένως αναφέρθηκε από 9 έως 5 Mac.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.