Safari 15’teki bir hata, göz atma etkinliğinizi sızdırabilir ve ayrıca Google hesabınıza eklenmiş bazı kişisel bilgileri açığa çıkarabilir. FingerprintJS’den bulgular, bir tarayıcı parmak izi alma ve dolandırıcılık algılama hizmeti (aracılığıyla 9to5Mac). Güvenlik açığı, Apple’ın aşağıdakileri uygulamasıyla ilgili bir sorundan kaynaklanmaktadır. IndexedDB, verileri tarayıcınızda depolayan bir uygulama programlama arabirimi (API).
FingerprintJS tarafından açıklandığı gibi, IndexedDB aşağıdakilere uyar: aynı menşe politikası, bir kaynağın diğer kaynaklarda toplanan verilerle etkileşime girmesini kısıtlayan – esas olarak, yalnızca veri üreten web sitesi ona erişebilir. Örneğin, e-posta hesabınızı bir sekmede açarsanız ve ardından başka bir sekmede kötü amaçlı bir web sayfası açarsanız, aynı kaynak politikası, kötü amaçlı sayfanın e-postanızı görüntülemesini ve karışmasını engeller.
FingerprintJS, Apple’ın Safari 15’teki IndexedDB API uygulamasının aslında aynı kaynak ilkesini ihlal ettiğini buldu. Bir web sitesi Safari’deki bir veritabanıyla etkileşime girdiğinde, FingerprintJS “aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulduğunu” söylüyor.
Bu, diğer web sitelerinin, diğer sitelerde oluşturulan ve kimliğinize özel ayrıntıları içerebilecek diğer veritabanlarının adını görebileceği anlamına gelir. FingerprintJS, YouTube, Google Takvim ve Google Keep gibi Google hesabınızı kullanan sitelerin tümü, adında benzersiz Google Kullanıcı Kimliğiniz olan veritabanları oluşturur. Google Kullanıcı Kimliğiniz, Google’ın, Safari hatasının diğer web sitelerine gösterebileceği, profil resminiz gibi herkese açık bilgilerinize erişmesine izin verir.
Bu çok büyük bir hata. OSX’te Safari kullanıcıları, verilerinin kaynaklar arasında sızmasını önlemek için (geçici olarak) başka bir tarayıcıya geçebilir. iOS kullanıcılarının böyle bir seçeneği yok çünkü Apple diğer tarayıcı motorlarına yasak getiriyor. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 Ocak 2022
FingerprintJS oluşturuldu kavram kanıtı demosu Mac’inizde, iPhone’unuzda veya iPad’inizde Safari 15 ve sonraki bir sürümü olup olmadığını deneyebilirsiniz. Demo, açtığınız (veya yakın zamanda açtığınız) siteleri belirlemek için tarayıcının IndexedDB güvenlik açığını kullanır ve hatanın Google Kullanıcı Kimliğinizden bilgileri nasıl kazıdığını gösterir. Şu anda yalnızca Instagram, Netflix, Twitter, Xbox gibi hatadan etkilenen 30 popüler siteyi tespit ediyor, ancak muhtemelen çok daha fazlasını etkiliyor.
Ne yazık ki, FingerprintJS, hatanın Safari’de Özel Tarama modunu da etkilediğini söylediğinden, sorunu çözmek için yapabileceğiniz pek bir şey yok. macOS’te farklı bir tarayıcı kullanabilirsiniz, ancak Apple’ın iOS’ta üçüncü taraf tarayıcı motorunun yasaklanması, tüm tarayıcıların etkilendiği anlamına gelir. FingerprintJS, 28 Kasım’da WebKit Hata İzleyici’ye sızıntıyı bildirdi, ancak henüz Safari için bir güncelleme yapılmadı. Sınır yorum için Apple’a ulaştı, ancak hemen geri dönmedi.