Nova napaka v Apple Safariju lahko pusti vašo zgodovino brskanja

Napaka v Apple Spletni brskalnik Safari spletnim mestom omogoča dostop do zgodovine brskanja uporabnikov in drugih osebnih podatkov. Z nedavnimi posodobitvami za iOS je Apple odpravljal številne napake in ranljivosti. Novembra 2021, Apple je izdal iOS 15.1 s SharePlay in ProRes Video za modele iPhone 13 Pro. Vendar pa naj bi vseboval dve nepopravljeni ranljivosti ničelnega dne, ki naj bi bili aktivno izkoriščeni. Poleg tega naj bi bila javna različica posodobitve polna napak, vključno s težavami s povezljivostjo z AirPods Pro in funkcijo odklepanja s funkcijo Apple Watch.

Nedavna posodobitev iOS 15.2.1 vsebuje tudi popravek napake HomeKit. Kot je omenjeno v povzetku napake v Spiniolasovem poročilu, bo sprememba imena naprave HomeKit v niz, ki vsebuje veliko znakov, povzročila motnje v napravi, zaradi česar bo neuporabna. Vendar, saj Apple je težavo odpravil z najnovejšo posodobitvijo, uporabnikom svetujemo, naj posodobijo na najnovejšo različico iOS-a.

FingerprintJS poroča, da so Safari 15 v macOS in vsi brskalniki v iOS in iPadOS 15 ranljivi za napako. API IndexedDB, ki se uporablja v teh spletnih brskalnikih, ni v skladu s politiko istega izvora, ki skriptom ali dokumentom iz enega izvora preprečuje dostop do informacij iz drugih virov. Zaradi hrošča vsakič, ko spletno mesto komunicira z lokalno bazo podatkov, ki shranjuje podatke o uporabniku in njegovih brskanja, se ustvari prazna baza podatkov s podobnim imenom za vse druge zavihke in okna, ki so aktivna med seja. Dostop do teh "

navzkrižno podvojene baze podatkov" domena lahko pridobi informacije, ki kršijo zasebnost uporabnikov. Preprosto povedano, napaka spletnim mestom omogoča dostop do uporabnikovih informacij o brskanju in zgodovine, povezane z drugimi spletnimi mesti na Spletni brskalnik Apple Safari.

Napaka lahko razkrije tudi Googlov ID uporabnikov

Tisti, ki uporabljajo naprave Apple, kot so iPhone, iPad ali MacBook, lahko poskusijo demonstracijo hrošča v živo tukaj. Ta predstavitev prikazuje kršitev pravilnika o istem izvoru IndexedDB v motorju brskalnika, ki se uporablja v Safariju, WebKit. Če obiščete demo stran iz naprave macOS, se prikaže število imen baz podatkov (število aktivnih zavihkov v seji brskanja) in seznam spletnih mest iz nedavne zgodovine brskanja uporabnikov. Žal to še ni vse. Napaka prav tako omogoča zlobnim spletnim mestom dostop do Googlovega ID-ja, ki je morda povezan z brskalnikom, ki lahko razkrije identiteto uporabnika in druge osebne podatke. Obisk demo strani od a Sistem Windows 10 ali Windows 11 prenosnik jasno piše "vaš brskalnik ni prizadet" in ne prikazuje nobenih spletnih mest ali drugih podrobnosti.

V nadaljnji raziskavi je FingerprintJS ugotovil, da je več kot 30 spletnih mest v Alexinih top 1000 najbolj obiskanih spletnih mestih dostopalo do indeksiranih baz podatkov brez privolitve uporabnikov. Poleg tega se zdi, da napaka vpliva tudi na zasebni način Safari 15. Poleg tega uporabniki ne morejo veliko storiti, da bi se zaščitili pred napako. FingerprintJS je ob posodobitvi svojega začetnega poročila tudi omenil, da so Applovi inženirji začeli delati na napaki v nedeljo, 1. 16, 2022. Vendar je napaka še vedno prisotna v Safariju 15 za macOS in vse spletne brskalnike na iOS in iPadOS 15, in tako bo še naprej, če ne bo popravka, ki ga je izdal Apple.

vir: FingerprintJS, Safari Leaks

Kako vklopiti temni način YouTube in zakaj bi morali