Użytkownicy urządzeń od Apple są narażeni na atak przeprowadzony przez ich domyślną przeglądarkę, czyli Safari. FingerprintJS ujawnił exploit, który pozwala atakującym uzyskać historię przeglądania, a nawet niektóre informacje o koncie Google, z Safari 15 na wszystkich obsługiwanych platformach. Problem ten dotyka również przeglądarek innych firm na iOS 15 i iPadOS 15, ze względu na to, że te muszą korzystać z silnika przeglądarki Apple.
Groźna luka w Safari
Cały problem bierze się stąd, że szkielet IndexedDB (używany do przechowywania danych w wielu przeglądarkach) narusza politykę same-origin, która zapobiega interakcji dokumentów i skryptów z jednej lokalizacji, takiej jak domena lub protokół, z treściami z innej, pozwalając odpowiednio zakodowanym stronom na wydedukowanie informacji Google od zalogowanych użytkowników, jak również historii z otwartych kart i okien. Co ciekawe usterka dotyczy jedynie nazw baz danych, a nie samej treści. Jednak to nadal wystarcza, aby twórca niebezpiecznej strony internetowej mógł zdobyć masę metadanych. Warto tu także dodać, że włączony tryb incognito w tym przypadku nie jest żadnym rozwiązaniem problemu.
Zobacz też: Para wodna znaleziona na egzoplanecie – to olbrzym większy od Neptuna
FingerprintJS podkreśla, że przekazało Apple informację o problemie 28 listopada. To jednak nie wydało od tamtego czasu żadnej poprawki, ani też nie odniosło się do sprawy. Miejmy nadzieję, że teraz, po nagłośnieniu sprawy firma potraktuje to zgłoszenie znacznie poważniej, niż robiła to do tej pory.
Źródło: Engadget