באג חדש ב-Apple Safari עשוי להדליף את היסטוריית הגלישה שלך

January 18, 2022
בטק תפוח עץ איוס מקבוק סמארטפונים

click fraud protection

באג ב תפוח עץ דפדפן האינטרנט Safari מאפשר לאתרי אינטרנט לגשת להיסטוריית הגלישה של המשתמשים ולמידע אישי אחר. עם העדכונים האחרונים עבור iOS, אפל תיקנה באגים ופגיעויות רבות. בנובמבר 2021, אפל שחררה את iOS 15.1 עם SharePlay ו-ProRes Video לדגמי iPhone 13 Pro. עם זאת, דווח שהוא מכיל שתי נקודות תורפה של יום אפס שלא תוקנו, שנאמר כי מנוצלות באופן פעיל. בנוסף, נאמר כי הגרסה הציבורית של העדכון הייתה עמוסה בבאגים, כולל בעיות קישוריות עם AirPods Pro ו- Unlock with Apple Watch.

העדכון האחרון של iOS 15.2.1 מכיל גם תיקון לבאג HomeKit. כפי שהוזכר בתקציר הבאג בדו"ח של Spiniolas, שינוי שם של מכשיר HomeKit למחרוזת המכילה תווים רבים יוביל לשיבוש במכשיר, יותיר אותו בלתי שמיש. עם זאת, מאז אפל תיקנה את הבעיה עם העדכון האחרון שלה, מומלץ למשתמשים לעדכן לגרסה החדשה ביותר של iOS.

טביעת אצבע JS מדווח כי Safari 15 ב-macOS וכל הדפדפנים ב-iOS ו-iPadOS 15 פגיעים לבאג. ה-API של IndexedDB המשמש בדפדפני אינטרנט אלה אינו תואם למדיניות של אותו מקור שמונעת מסקריפטים או מסמכים ממקור אחד לגשת למידע ממקורות אחרים. עקב הבאג, בכל פעם שאתר מקיים אינטראקציה עם מסד הנתונים המקומי המאחסן מידע על המשתמש ושלו פעילות גלישה, מסד נתונים ריק עם שם דומה נוצר עבור כל שאר הכרטיסיות והחלונות הפעילים במהלך מוֹשָׁב. גישה לאלה"

מסדי נתונים משוכפלים בין מוצאים"דומיין יכול לקבל את המידע שמפר את פרטיות המשתמשים. במילים פשוטות, הבאג מאפשר לאתרי אינטרנט לגשת למידע הגלישה וההיסטוריה של המשתמשים הקשורים לאתרים אחרים ב- דפדפן האינטרנט של Apple Safari.

הבאג עשוי גם לחשוף את מזהה Google של משתמשים

אלה המשתמשים במכשירי אפל כמו אייפון, אייפד או מקבוק יכולים לנסות את ההדגמה החיה של באג כאן. הדגמה זו מציגה את ההפרה של מדיניות IndexedDB באותו מקור במנוע הדפדפן המשמש ב-Safari, WebKit. ביקור בדף ההדגמה ממכשיר macOS יציג את מספר שמות מסדי הנתונים (מספר הכרטיסיות הפעילות בהפעלת גלישה) ורשימת אתרים מהיסטוריית הגלישה האחרונה של המשתמשים. למרבה הצער, זה לא הכל. הבאג גם מאפשר לאתרי אינטרנט מרושעים לגשת ל-Google ID שעשוי להיות מקושר לדפדפן, שיכול לחשוף את זהות המשתמש ופרטים אישיים אחרים. ביקור בדף ההדגמה מא Windows 10 או Windows 11 מופעל מחשב נייד אומר בבירור "הדפדפן שלך לא מושפעואינו מציג אתרי אינטרנט או פרטים אחרים.

במחקר נוסף, FingerprintJS מצאה שיותר מ-30 אתרים ברשימת 1000 האתרים המבוקרים ביותר של אלקסה ניגשו למאגרי המידע שנוספו לאינדקס ללא הסכמת המשתמשים. בנוסף, נראה שגם המצב הפרטי Safari 15 מושפע מהבאג. יתר על כן, אין הרבה מה שמשתמשים יכולים לעשות כדי להגן מפני הבאג. בעדכון הדוח הראשוני שלהם, FingerprintJS הזכירה גם שמהנדסי אפל החלו לעבוד על הבאג ביום ראשון, ינואר. 16, 2022. עם זאת, הבאג עדיין קיים ב-Safari 15 עבור macOS והכל דפדפני אינטרנט ב-iOS ו-iPadOS 15, והוא ימשיך לעשות זאת בהיעדר תיקון שפורסם על ידי תפוח עץ.

מָקוֹר: טביעת אצבע JS, דליפות ספארי

כיצד להפעיל מצב כהה של YouTube ולמה כדאי לך