Apple Safari 15’in IndexedDB API uygulamasında tanıtılan bir yazılım hatası, kötü niyetli bir web sitesi tarafından, kullanıcıların web tarayıcısındaki çevrimiçi etkinliklerini izlemek ve daha da kötüsü, kimliklerini ortaya çıkarmak için kötüye kullanılabilir.
Güvenlik açığı, dublajlı IndexedDB Sızıntıları, dolandırıcılık koruma yazılımı şirketi FingerprintJS tarafından açıklandı. sorunu bildirdi 28 Kasım 2021’de iPhone üreticisine.
IndexedDB, bir web tarayıcısını yönetmek için web tarayıcıları tarafından sağlanan düşük seviyeli bir JavaScript uygulama programlama arabirimidir (API). NoSQL veritabanı dosyalar ve bloblar gibi yapılandırılmış veri nesneleri.
Mozilla, “Çoğu web depolama çözümü gibi, IndexedDB de aynı kaynak politikasını izliyor” belgelerindeki notlar API’nin “Dolayısıyla, bir etki alanındaki depolanmış verilere erişebilirken, farklı etki alanlarındaki verilere erişemezsiniz.”
Aynı kökenli bir temel güvenlik mekanizması Bu, kaynakların farklı kaynaklardan alınmasını sağlar. kökenler – yani, bir kombinasyon bir URL’nin şeması (protokol), ana bilgisayar (etki alanı) ve bağlantı noktası numarası – birbirinden izole edilmiştir. Bu etkili bir şekilde şu anlama gelir: “http[:]//örnek[.]com/” ve “https[:]//örnek[.]com/” farklı şemalar kullandıkları için aynı kaynaktan değildir.
Bir kaynak tarafından yüklenen bir komut dosyasının başka bir kaynaktan bir kaynakla nasıl etkileşime girebileceğini kısıtlayarak, fikir, potansiyel olarak kötü amaçlı komut dosyalarını ayırmak ve sahte bir web sitesinin başka bir etki alanından verileri okumak için rastgele JavaScript kodu çalıştırmasını engelleyerek olası saldırı vektörlerini azaltmaktır, örneğin, bir e-posta hizmeti.
Ancak Safari’nin iOS, iPadOS ve macOS genelinde Safari’de IndexedDB API’sini nasıl kullandığıyla ilgili durum böyle değil.
Martin Bajanik, “macOS’taki Safari 15’te ve iOS ve iPadOS 15’teki tüm tarayıcılarda IndexedDB API’si aynı kaynak ilkesini ihlal ediyor” söz konusu bir yazımda. “Bir web sitesi bir veritabanıyla her etkileşime girdiğinde, aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulur.”
Bu gizlilik ihlalinin bir sonucu, web sitelerinin bir kullanıcının farklı sekmelerde veya pencerelerde ziyaret ettiği diğer web sitelerini öğrenmesine izin vermesidir; bu web siteleri, aşağıdakileri içeren IndexedDB veritabanlarını oluştururken YouTube ve Google Takvim gibi Google hizmetleri hizmetlerindeki kullanıcıları tam olarak tanımlamaktan bahsetmiyor. tek bir Google hesabını benzersiz şekilde tanımlayan dahili bir tanımlayıcı olan kimliği doğrulanmış Google Kullanıcı Kimlikleri.
Bajanik, “Bu, yalnızca güvenilmeyen veya kötü niyetli web sitelerinin bir kullanıcının kimliğini öğrenebileceği anlamına gelmez, aynı zamanda aynı kullanıcı tarafından kullanılan birden fazla ayrı hesabın birbirine bağlanmasına da izin verir.” Dedi.
İşleri daha da kötüleştirmek için, sızıntı da etkiler Özel Tarama mod Safari 15’te bir kullanıcının tarayıcı penceresindeki aynı sekmeden birden çok farklı web sitesini ziyaret etmesi gerekir. Daha fazla yorum için Apple’a ulaştık ve haber alırsak hikayeyi güncelleyeceğiz.
Google Chrome Jake Archibald için geliştirici savunucusu “Bu çok büyük bir hata” tweetlendi. “OSX’te Safari kullanıcıları, verilerinin farklı kaynaklardan sızmasını önlemek için (geçici olarak) başka bir tarayıcıya geçebilirler. iOS kullanıcılarının böyle bir seçeneği yok çünkü Apple diğer tarayıcı motorlarını yasaklıyor.”
.
siber-2
