Nauja „Apple Safari“ klaida gali nutekėti jūsų naršymo istorijoje

Klaida Apple „Safari“ žiniatinklio naršyklė leidžia svetainėms pasiekti vartotojų naršymo istoriją ir kitą asmeninę informaciją. Naujausiais iOS atnaujinimais Apple ištaisė daugybę klaidų ir pažeidžiamumų. Lapkričio mėn. 2021, „Apple“ išleido „iOS 15.1“. su SharePlay ir ProRes Video iPhone 13 Pro modeliams. Tačiau buvo pranešta, kad jame yra du nepataisyti nulinės dienos pažeidžiamumai, kurie, kaip teigiama, buvo aktyviai išnaudojami. Be to, buvo teigiama, kad viešoje naujinimo versijoje yra klaidų, įskaitant ryšio problemas naudojant „AirPods Pro“ ir „Unlock with Apple Watch“ funkciją.

Naujausiame iOS 15.2.1 naujinime taip pat pataisyta „HomeKit“ klaida. Kaip minėta Spiniolo ataskaitoje esančios klaidos santraukoje, „HomeKit“ įrenginio pavadinimo pakeitimas į eilutę, kurioje yra daug simbolių, sukels įrenginio veikimo sutrikimus, todėl jis bus netinkamas naudoti. Tačiau, kadangi „Apple“ išsprendė problemą naujausiu atnaujinimu, vartotojams patariama atnaujinti į naujausią iOS versiją.

Pirštų atspaudaiJS

 praneša, kad „MacOS“ „Safari 15“ ir visos „iOS“ ir „iPadOS 15“ naršyklės yra pažeidžiamos dėl klaidos. Šiose žiniatinklio naršyklėse naudojama IndexedDB API nesilaiko tos pačios kilmės politikos, kuri neleidžia scenarijams ar dokumentams iš vienos kilmės prieiti prie informacijos iš kitų šaltinių. Dėl klaidos kiekvieną kartą, kai svetainė sąveikauja su vietine duomenų baze, kurioje saugoma informacija apie vartotoją ir jo naršymo veikla, tuščia duomenų bazė panašiu pavadinimu sukuriama visiems kitiems skirtukams ir langams, kurie yra aktyvūs sesija. Prieiga prie šių "įvairių šaltinių dubliuojamos duomenų bazės" domenas gali gauti informaciją, kuri pažeidžia vartotojų privatumą. Paprastais žodžiais tariant, klaida leidžia svetainėms pasiekti vartotojų naršymo informaciją ir istoriją, susijusią su kitomis interneto svetainėmis. Apple Safari žiniatinklio naršyklė.

Klaida taip pat gali atskleisti naudotojų „Google“ ID

Tie, kurie naudojasi „Apple“ įrenginiais, tokiais kaip „iPhone“, „iPad“ ar „MacBook“, gali išbandyti tiesioginį klaidos demonstravimą čia. Šioje demonstracijoje parodytas „IndexedDB“ tos pačios kilmės politikos pažeidimas naršyklės variklyje, naudojamame „Safari“, „WebKit“. Apsilankius demonstraciniame puslapyje iš „MacOS“ įrenginio bus rodomas duomenų bazių pavadinimų skaičius (aktyvių skirtukų skaičius per naršymo sesiją) ir svetainių sąrašas iš naujausios naudotojų naršymo istorijos. Deja, tai dar ne viskas. Be to, ši klaida leidžia niekšiškoms svetainėms pasiekti „Google“ ID, kuris gali būti susietas su naršykle, kuris gali atskleisti vartotojo tapatybę ir kitą asmeninę informaciją. Apsilankymas demonstraciniame puslapyje iš a „Windows 10“ arba „Windows 11“ veikia nešiojamas kompiuteris aiškiai sako "jūsų naršyklė neturi įtakos“ ir nerodo jokių svetainių ar kitos informacijos.

Tolesniuose tyrimuose „FingerprintJS“ nustatė, kad daugiau nei 30 „Alexa“ 1000 lankomiausių svetainių esančių svetainių prie indeksuotų duomenų bazių prisijungė be vartotojų sutikimo. Be to, atrodo, kad klaida paveikė „Safari 15“ privatų režimą. Be to, vartotojai negali padaryti daug, kad apsisaugotų nuo klaidų. Atnaujindamas savo pradinę ataskaitą, FingerprintJS taip pat paminėjo, kad „Apple“ inžinieriai pradėjo dirbti su klaida sekmadienį, sausio mėn. 16, 2022. Tačiau klaida vis dar yra „Safari 15“, skirtoje „MacOS“ ir visoms kitoms žiniatinklio naršyklės iOS ir iPadOS 15, ir toliau tai darys, jei nebus išleistas pataisymas Apple.

Šaltinis: Pirštų atspaudaiJS, „Safari“ nutekėjimai

Kaip įjungti „YouTube“ tamsųjį režimą ir kodėl turėtumėte