Bilgisayar korsanları, Google Kullanıcı Kimliğinizi almak için bu hatayı kullanabilir
Hata, veri depolama için IndexedDB API’sini kullanan herhangi bir web sitesinin, farklı bir sekmede veya pencerede açılsalar bile, bir göz atma oturumu sırasında kullanıcı tarafından açılan diğer web sitelerinin adlarını almasına izin verir. Etkilenen siteler ayrıca “önemli miktarda veri” tuttuğu bilinen IndexedDB’yi kullanmalıdır.
Demo, Safari hatasının yakın zamanda ziyaret ettiğiniz belirli web sitelerinin adlarını nasıl ortaya çıkarabileceğini gösterir
Bu veritabanlarından bazıları, saldırganlar tarafından kullanıcının adını yakalamak için kullanılabilecek kullanıcıya özel tanımlayıcıları açığa çıkaracaktır. Bu kullanıcıya özel tanımlayıcıları veritabanlarına yerleştiren uygulamalar arasında YouTube, Google Takvim ve Google Keep bulunur.
YouTube, Google Takvim ve Google Keep gibi uygulamalarla kullanılan tanımlayıcılar, bir kişinin Google Kullanıcı Kimliğini içerir. Safarileaks.com’u iPhone veya iPad’inizin mobil web tarayıcısında açarak bunu kendiniz kanıtlayabilirsiniz. Yönergeleri izleyin ve en son ziyaret ettiğiniz sitelere bağlı olarak, Google Kullanıcı Kimliğiniz, yakın zamanda açtığınız belirli web sitelerinin adlarıyla birlikte görünecektir.
iOS 14 veya iPadOS 14 çalıştıran cihazlar hatadan etkilenmez
Bir bilgisayar korsanı, Google Kullanıcı Kimliğinizle belirli bir Google hesabını tanımlayabilir. Belki biraz daha ilgili, Google API’leri ile birlikte, hata, en kötü senaryoda en azından ve çok daha fazla kişisel bilgiyi bir bilgisayar korsanına profil resminizi gösterebilir.
Bu hatayla ilgili sorunlardan biri, kendinizi riske atmak için özel bir şey yapmanızı gerektirmemesidir. Bir bağlantıya dokunmak veya belirli bir web sitesini açmak için kandırılmanıza gerek yok. Ve FingerprintJS, en çok ziyaret edilen 1000 siteden 30’unun (Alexa tarafından hesaplanmıştır) ana sayfalarında IndexedDB’ye sahip olduğunu keşfetti, bu da bir iPhone veya iPad kullanıcısının farkında olmadan bu hataya girmesini kolaylaştırıyor.
Ve Apple güncellemeyi sunana kadar, bir kullanıcının bundan kaçınmak için yapabileceği pek bir şey yok. Mac kullanıcıları tarayıcıları değiştirebilir, ancak iOS ve iPadOS kullanıcıları, WebKit motorunda çalışan bir tarayıcıya bağlı kalmalıdır, bu yüzden çok yardımcı olmaz. Bir öneri, varsayılan olarak tüm JavaScript’i engellemek ve yalnızca %100 güvenilir sitelerde buna izin vermektir.