Prenumerera på oss 
Varför är detta viktigt: Forskare har upptäckt en bugg i Safari 15 som kan ge en webbplats tillgång till din senaste webbhistorik samt ditt Google-konto-ID och avatar. Apple är medveten om sårbarheten och har arbetat på en fix sedan söndagen den 16 januari. Den 18 januari har utvecklarna inte släppt en patch.
Säkerhetsföretaget FingerprintJS säger att buggen är relaterad till IndexedDB API. I de flesta webbläsare kan ett dokument i en domäns databas inte nås av en annan webbplats. API-implementeringen i Safari bryter dock mot denna “samma ursprungspolicy”, vilket kan ge en skadlig webbplats tillräckligt med information för att identifiera Safari-användare.
FingerprintJS förklarar sin proof of concept (POC) demo i en video som publicerades den 14 januari (nedan). Han har också lagt ut en livekopia av POC på webben för de som är nyfikna. se den i aktion i realtid.
Forskare rapporterade först sårbarheten (233548) till WebKit Bug Tracker den 28 november. Från och med denna helg markerade Apples ingenjörer felrapporten som löst, men TechSpot kan bekräfta att den senaste versionen av Safari förblir oparpad den 18 januari.
FingerprintJS påpekar att dåliga skådespelare kan använda detta utnyttjande för att identifiera användare via en uppslagstabell. Dessutom kan autentiserade databaser avslöja en användares unika ID och profilbild, vilket ytterligare identifierar individen. Om du till exempel loggar in på en Google-tjänst, som YouTube eller Gmail, autentiseras användaren i alla Google-tjänster. Således avslöjar alla Google-plattformar som öppnas i en ny webbläsarflik eller instans den webbplats som just besökts, användarens unika ID och användarens avatar.
“Google User ID är en intern identifierare som genereras av Google”, förklarar forskarna. “Det identifierar unikt ett enda Google-konto. Den kan användas med Googles API:er för att hämta offentlig personlig information om kontoägaren. Informationen som exponeras av dessa API:er styrs av många faktorer. I allmänhet är som minimum användarens profilbild vanligtvis tillgänglig.”
Tills en patch släpps finns det lite användare kan göra för att mildra denna sårbarhet förutom att inte använda Safari. På den ljusa sidan indikerar Apple att problemet är “löst” att en patch är nära förestående.
Källa
