Kısa süre önce, web sitelerinin iOS 15 ve iPadOS 15’te göz atma geçmişinizi ve Google Kimliğinizi izlemesine izin verebilecek ciddi bir Safari hatası bildirdik. AppleInsider raporları Apple şu anda hatayı mümkün olan en kısa sürede çözmek için çalışıyor.
Apple, temelde hiçbir şey yapamayacağınız Safari hatasını çözmeye çalışıyor
Birkaç gün önce, araştırmacılar tarafından bulunan hatayı bildirdik, yolu etkileyen bir sorun Apple, Safari 15’te IndexedDB API’yi uygulamıştı. Hata, herhangi bir web sitesinin tarayıcının internet etkinliğini izlemesine izin veriyor ve bu da bir şekilde bir kullanıcının kimliğini belirleyebiliyor. Neyse ki bu oldukça ciddi hata, çözümünü Apple’dan almak üzere. Cupertino’nun şu anda bunun için bir düzeltme hazırladığı için, bir GitHub’da WebKit taahhüdü. Şimdiye kadar, düzeltme henüz kullanıma sunulmadı ve güncelleme iOS 15, iPadOS 15 ve macOS Monterey için geldiğinde kullanıma sunulacak.
En azından artık hatanın kabul edildiğini biliyoruz ve yakında bir güncelleme gelebilir.
Bu Safari hatası tam olarak nedir?
Bu hata, temel olarak Safari 15’e sahip işletim sistemleri olan iOS 15, iPadOS 15 ve macOS Monterey’i etkiler. Hata, çoğu tarayıcı tarafından kullanılan ve desteklenen bir Uygulama Programlama Arayüzü’nde (API) bulundu ve saldırganlar tarafından bulmak için kullanılabilir. kullanıcı tarama hakkında birçok şey. Sorunlu API’ye IndexedDB adı verilir ve içinde önemli miktarda veri bulunur. Tipik olarak API, bir sitenin yalnızca kendi oluşturduğu verilere erişmesine izin vermeli ve diğer web sitelerinin verilerine erişmemelidir. Ancak Safari 15’in hatası, API’nin doğru çalışmasını sağlayacak bir politikayı ihlal ediyor. Bunu keşfeden araştırmacılar, bir web sitesi API’nin veritabanıyla etkileşime girdiğinde, aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı adı kullanan yeni bir boş veritabanı oluşturulduğunu iddia ediyor.
Temel olarak, hata web sitelerinin Google Kimliğinize erişmesine izin verir. Bir saldırgana sizinle ilgili birçok kişisel bilgi sunabilir. Bu, belirli bir Google hesabını tanımlamak, profil resminizi bilgisayar korsanına göstermek için kullanılabilir. Ek olarak, bilgisayar korsanının aynı kullanıcıya ait birden fazla ayrı hesabı çözmesine izin verebilir.
Ne yazık ki, bu hata, potansiyel bir bilgisayar korsanının, özellikle bir şey yapmadan (tuhaf bağlantılara tıklamak veya tıklama tuzağı fotoğraflarını indirmek gerekmez) bu bilgilere erişmesine izin verir. Araştırmacıların raporunun belirttiği şey şöyle: “Arka planda çalışan ve mevcut veritabanları için IndexedDB API’sini sürekli olarak sorgulayan bir sekme veya pencere, bir kullanıcının gerçek zamanlı olarak başka hangi web sitelerini ziyaret ettiğini öğrenebilir. Alternatif olarak, web siteleri herhangi bir web sitesini bir iframe’de açabilir. veya söz konusu site için IndexedDB tabanlı bir sızıntıyı tetiklemek için açılır pencere.”
Kendini korumanın bir yolu var mı?
Ne yazık ki, Safari kullanıcılarının hatanın Apple tarafından düzeltilmesini beklemek ve güncelleme yayınlanır yayınlanmaz cihazlarını güncellemek dışında bu konuda yapabilecekleri çok az şey var. JavaScript’i varsayılan olarak engellemek ve yalnızca güvenilir web sitelerinde etkinleştirmek mümkündür, ancak bu, tarama deneyimine zarar verebilir. Diğer bir alternatif ise Safari yerine geçici olarak farklı bir tarayıcı kullanmaktır. Buna rağmen, araştırmacılar bu hataya karşı tek gerçek korumanın Apple’ın bir düzeltme yayınlaması ve piyasaya çıkar çıkmaz cihazınızı (iPhone, iPad veya Mac) güncellemeniz olduğunu kabul ettiler.
Şimdiye kadar, Apple’ın hata düzeltmesini ne zaman tamamlayacağı ve güncellemenin ne zaman kullanıma sunulacağı bilinmiyor. Daha fazlasını öğrendiğimizde sizi mutlaka bilgilendireceğiz, bu yüzden bizi izlemeye devam edin!
