Safari 15, tarama etkinliğinizi sızdıran ve hatta kötü oyuncuların kimliğinizi öğrenmesine izin veren bir güvenlik açığına sahip. Sorun, yapılandırılmış verileri depolamak için bir uygulama programlama arabirimi (API) olarak çalışan IndexedDB uygulamasında tanıtılan bir hata nedeniyle ortaya çıktı. macOS’in en son sürümünün yanı sıra iOS ve iPadOS kullanıcıları bu güvenlik açığından etkilenir. macOS kullanıcıları üçüncü taraf bir tarayıcıya geçerek bu etkinin üstesinden gelebilse de, iPhone veya iPad kullanan kullanıcıların şu anda böyle bir çaresi yok.
Başlangıçta olduğu gibi rapor edildi 9to5Mac tarafından, tarayıcı parmak izi ve dolandırıcılık tespit firması FingerprintJS, Safari 15’i etkileyen IndexedBD güvenlik açığını keşfetti. aynı menşe politikası bu, bir kaynaktan yüklenen belgelerin ve komut dosyalarının diğer kaynaklardan gelen kaynaklarla etkileşime girmesini kısıtlamak içindir. Bu, bir Web tarayıcısının, diğer sekmede eriştiğiniz web sitesinden bir sekmede oturumunuzu güvenceye almasına yardımcı olur.
Ancak FingerprintJS’deki araştırmacılar, Apple’ın IndexedDB politikayı ihlal ediyor. Bu, bir saldırganın göz atma etkinliğinize veya Google hesabınıza bağlı kimliğinize erişmek için yararlanabileceği bir boşlukla sonuçlanır.
Araştırmacılar, “Bir web sitesi bir veritabanıyla her etkileşime girdiğinde, aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulur.” söz konusu güvenlik açığını açıklarken.
Kusur, bilgisayar korsanlarının farklı sekmelerde veya pencerelerde hangi web sitelerini ziyaret ettiğinizi öğrenmesine olanak tanır. Ayrıca, Google Kullanıcı Kimliğinizi, Google hesabınızla oturum açtığınız siteler dışındaki web sitelerine de gösterir. Google Kullanıcı Kimliği, web sitelerinin profil resminiz de dahil olmak üzere kişisel tanımlayıcılarınıza erişmesine izin verir. Sonunda, bilgisayar korsanları Safari güvenlik açığından yararlanarak bu tanımlayıcılara bakabilir.
FingerprintJS, etkileşimde bulunabilen ve kullanıcıların göz atma etkinliğine ve kişisel tanımlayıcılarına erişim sağlayabilen web sitelerinin sayısının önemli olabileceğini iddia ediyor. Kusuru göstermek için, araştırmacılar tarafından bir kavram kanıtı da yayınlandı.
Güvenlik açığına bakmak için Safari 15 yüklü Mac, iPhone veya iPad’inizdeki demoyu kullanabilirsiniz. Şu anda Alibaba, Instagram, Twitter ve Xbox gibi popüler siteleri tespit ederek bir sitedeki veritabanının diğerlerine nasıl sızdırılabileceğini öneriyor. Ancak sorun bunlarla sınırlı değildir ve diğer siteleri ziyaret eden kullanıcıları da etkileyebilir.
Safari 15’te özel moda geçen kullanıcılar, tarayıcıdaki özel tarama oturumları tek bir sekmeyle sınırlandırıldığından, sızıntı yoluyla elde edilen bilgilerin kapsamını azaltabilir. Yine de, aynı sekmede birbiri ardına birden fazla web sitesini ziyaret ederseniz, verilerinizi sızdırırsınız.
Yine de Mac kullanıcıları, güvenlik boşluğunu gidermek için Google Chrome veya Mozilla Firefox gibi üçüncü taraf bir tarayıcıya geçebilir.
Ancak iOS’ta sorun yalnızca Safari ile sınırlı değildir ve Chrome’a veya başka bir üçüncü taraf tarayıcıya geçilerek üstesinden gelinemez. Bunun nedeni, Apple’ın iOS Web tarayıcılarının iPhone ve iPad’de üçüncü taraf bir tarayıcı motoru kullanmasına izin vermemesidir.
Kullanıcılar şu an için tarayıcılarında JavaScript’i devre dışı bırakarak veri sızıntısını sınırlayabilir. Ancak günümüzde çoğu site modern tarama sağlamak için JavaScript kullandığından, bu onların deneyimlerini etkileyecektir.
FingerprintJS, sorunu 28 Kasım’da WebKit Bug Tracker’a bildirdi. Yine de kusur hala mevcut.
Gadgets 360, güvenlik açığı ve bir düzeltme üzerinde çalışıp çalışmadığı hakkında bir yorum için Apple’a ulaştı. Bu makale, şirket yanıt verdiğinde güncellenecektir.
Safari’yi etkileyen güvenlik açıkları yeni bir şey değil. Geçen yıl Apple, güvenlik sorunlarını ve önceki bir güncellemeyle ortaya çıkan hataları düzeltmek için tarayıcısını yeniden yayınlamak zorunda kaldı. Ayrıca Aralık ayında piyasaya sürülen en son Safari yapısı (sürüm 15.2) sabit önceki sürümlerde bulunan ve saldırganların kötü niyetli bir şekilde kullanıcı verilerine erişmesine izin verebilecek bilinen altı WebKit güvenlik sorunu.
CES 2022 merkezimizde Gadgets 360’ta Tüketici Elektroniği Şovundan en son haberleri alın.
.
genel-8