Güvenlik uzmanları, Apple’ın internet tarayıcısının en son sürümünde, tarama geçmişini ve hatta ilişkili Google hesaplarında kayıtlı bazı kimlik verilerini sızdıran büyük bir kusuru ortaya çıkardı.
Siber güvenlik hizmeti sağlayıcıları FingerprintJS’in bir blog gönderisine göre, sorun Safari 15’te veri depolamak için kullanılan bir Apple API – IndexedDB’de yatıyor.
Safari 15, bir sekmede açılan kötü amaçlı sayfaların başka bir sekmede açılan web siteleri tarafından oluşturulan verileri okumasını engelleyen bir güvenlik önlemine sahiptir. FingerprintJS’ye göre, Safari 15’teki IndexedDB API, bu politikaya (aynı kaynak politikası denir) uymaz ve bunun yerine – “diğer tüm aktif çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulur. aynı tarayıcı oturumu içinde.”
Henüz yama yok
Araştırmacılar ayrıca, Google hesap verilerini elde etmek için kusurun nasıl kullanılabileceğini de açıkladılar. Google’ın hizmetleri (örneğin YouTube), adlarında benzersiz Google Kullanıcı Kimliğini içeren veritabanları oluşturur. Bu kimlikler, profil resmi gibi genel bilgilere erişmek için kullanıldığından, diğer siteler de görebilir.
Bir web sitesinin herhangi bir ziyaretçinin son ve mevcut tarama etkinliğini nasıl öğrenebileceğini göstermek için, araştırmacılar ayrıca şu adreste bulabileceğiniz bir demo oluşturdular. bu bağlantı. Şu anda, etkilenen 30 site tespit ediyor, ancak liste muhtemelen çok daha büyük.
Şu anda, sorunun bir çözümü yok gibi görünüyor. tarafından bildirildiği gibi Sınır, sorun Safari’deki Özel Tarama modunu bile etkiliyor ve Apple’ın iOS’ta üçüncü taraf tarayıcı motoru yasağı ile diğer tüm tarayıcılar da etkileniyor.
Kusur, geçen yıl Kasım ayı sonlarında WebKit Hata İzleyici’ye bildirildi, ancak Apple henüz tarayıcı için bir güncelleme yayınlamadı ve bu konuda sessiz kaldı.
Araştırmacılar tarafından önerilen bir seçenek, varsayılan olarak tüm JavaScript’i engellemek ve yalnızca güvenilir sitelerde izin vermektir. Ancak bu, modern web taramasını “uygunsuz hale getiriyor ve muhtemelen herkes için iyi bir çözüm değil” sonucuna vardılar.
- Şu anda en iyi güvenlik duvarları listemize de göz atmak isteyebilirsiniz.