iOS 15 ve iPadOS 15’teki Safari, kişisel verilerinizi ortaya çıkarmak için kullanılabilecek bir hata içeriyor
Google Kullanıcı Kimliği, bir saldırganı çok sayıda kişisel veriye yönlendirir. Her biri belirli bir Google hesabını tanımlamak için kullanılabilir ve Google API’leriyle birlikte en azından profil resminizi bir bilgisayar korsanına gösterebilir. Ayrıca, saldırganın çok daha fazla kişisel bilgi almasına ve aynı kullanıcıya ait “birden çok ayrı hesabı” çözmesine yardımcı olabilir.
Ne yazık ki, kişisel bilgilerinizi öğrenmek, herhangi bir özel eylem gerçekleştirmenizi gerektirmez, çünkü raporda “Arka planda çalışan ve sürekli olarak IndexedDB API’sini mevcut veritabanları için sorgulayan bir sekme veya pencere, bir kullanıcının gerçekte başka hangi web sitelerini ziyaret ettiğini öğrenebilir. Alternatif olarak, web siteleri, belirli bir site için IndexedDB tabanlı bir sızıntıyı tetiklemek için herhangi bir web sitesini bir iframe veya açılır pencerede açabilir.”
FingerprintJS, Alexa’nın en çok ziyaret edilen 1.000 sitesini kontrol etti ve 30’unun, kullanıcı tarafından herhangi bir etkileşim veya kimlik doğrulama gerektirmeden, dizinlenmiş veritabanlarıyla doğrudan ana sayfalarında etkileşime girdiğini buldu. Bir kişi Safari’de özel modu kullanıyor olsa bile, aynı sekmeyi kullanarak birden fazla web sitesini ziyaret ederse, etkileşimde bulunulan tüm veritabanları, kullanıcının daha sonra ziyaret ettiği sitelere sızdırılır.
Bu hatayı önlemenin bir yolu var mı?
iOS 15 veya iPadOS 15 çalıştırıyorsa Safari kullanıcısının yapabileceği pek bir şey yoktur. Önerilerden biri, tüm JavaScript’leri varsayılan olarak engellemek ve yalnızca %100 güvenilir sitelerde izin vermektir. Mac kullanıcıları bu hatadan kurtulmak için tarayıcı değiştirebilirler, ancak bu iOS 15 veya iPadOS 15’te bir çözüm değildir. Hatanın FingerprintJS tarafından 28 Kasım 2021’de WebKit Bug Tracker’a 233548 numaralı hata olarak gönderildiğini belirtmeliyiz.