Safari 15 introducerar en sårbarhet som läcker din surfaktivitet och låter även dåliga skådespelare veta din identitet. Problemet uppstod på grund av en bugg som introducerades i implementeringen av IndexedDB, som fungerar som ett applikationsprogrammeringsgränssnitt (API) för att lagra strukturerad data. Användare av den senaste versionen av macOS samt iOS och iPadOS påverkas av sårbarheten. Även om macOS-användare kan övervinna effekten genom att byta till en webbläsare från tredje part, har iPhone- eller iPad-användare ingen sådan möjlighet för närvarande.
Som ursprungligen rapporterades av 9to5Mac, har fingeravtrycks- och webbläsarbedrägeriupptäcktsföretaget FingerprintJS upptäckt sårbarheten IndexedBD som påverkar Safari 15. API:n spårar samma ursprungspolicy som är avsedd att begränsa dokument och skript som laddas från ett ursprung för att interagera med resurser från andra ursprung. Detta hjälper en webbläsare att säkra din session på en flik från webbplatsen du besökte på den andra fliken.
FingerprintJS-forskare upptäckte dock att Apples implementering av IndexedDB bryter mot policyn. Detta resulterar i ett fel som en angripare kan utnyttja för att få tillgång till din surfaktivitet eller identitet som är kopplad till ditt Google-konto.
“Varje gång en webbplats interagerar med en databas skapas en ny (tom) databas med samma namn i alla andra aktiva ramar, flikar och fönster inom samma webbläsarsession”, sa forskarna. noterade när man förklarade sårbarheten.
Felet låter hackare veta vilka webbplatser du besöker i olika flikar eller fönster. Det exponerar också ditt Google-användar-ID för andra webbplatser än de där du loggade in med ditt Google-konto. Google User ID tillåter webbplatser att komma åt dina personliga uppgifter, inklusive din profilbild. Så småningom kunde hackare titta på dessa referenser genom att utnyttja sårbarheten i Safari.
FingerprintJS hävdar att antalet webbplatser som kan interagera och komma åt användarnas surfaktivitet och personliga identifierare kan vara betydande. För att visa bristen har ett proof of concept också offentliggjorts av forskarna.
Du kan använda demon på din Mac, iPhone eller iPad som kör Safari 15 för att undersöka sårbarheten. Den upptäcker för närvarande populära sajter som Alibaba, Instagram, Twitter och Xbox för att föreslå hur en sajts databas kan läckas till andra. Problemet är dock inte begränsat till dessa och kan också påverka användare som besöker andra webbplatser.
Användare som byter till privat läge i Safari 15 kan minska omfattningen av information som är tillgänglig genom läckan, eftersom privata surfsessioner i webbläsaren är begränsade till en enda flik. Du kommer dock att sluta läcka din data om du besöker flera webbplatser efter varandra på samma flik.
Mac-användare kan dock byta till en webbläsare från tredje part, som Google Chrome eller Mozilla Firefox, för att lösa säkerhetsbristen.
Men på iOS är problemet inte begränsat till Safari och kan inte lösas genom att byta till Chrome eller en annan webbläsare från tredje part. Detta beror på att Apple inte tillåter iOS-webbläsare att använda webbläsarmotorer från tredje part på iPhone och iPad.
Användare kan begränsa dataläckor genom att tillfälligt inaktivera JavaScript i sin webbläsare. Men det kommer att påverka deras upplevelse eftersom de flesta webbplatser idag använder JavaScript för att ge modern navigering.
FingerprintJS rapporterade problemet till WebKit Bug Tracker den 28 november. Men felet kvarstår.
Gadgets 360 har kontaktat Apple för en kommentar om sårbarheten och om den arbetar på en fix. Den här artikeln kommer att uppdateras när företaget svarar.
Sårbarheter som påverkar Safari är inte något nytt. Förra året var Apple tvungen att återsläppa sin webbläsare för att åtgärda säkerhetsproblem och buggar som introducerades av en tidigare uppdatering. Den senaste versionen av Safari (version 15.2) som släpptes i december har också fixat sex kända WebKit-säkerhetsproblem som fanns i tidigare versioner som kunde tillåta angripare att med skadlig uppsåt komma åt användardata.
Kolla in det senaste från Consumer Electronics Show på Gadgets 360, i vår CES 2022-hub.
