Chcesz prywatności? Porzuć Safari. Apple ignoruje poważną lukę

Maksym SłomskiSkomentuj
Chcesz prywatności? Porzuć Safari. Apple ignoruje poważną lukę
Firma Apple od końca listopada ubiegłego roku ignoruje zgłoszenie w sprawie poważnej luki w przeglądarce internetowej Safari. Na blogu FingerprintJS pojawił się opis buga, prowadzącego do ujawnienia najnowszej historii przeglądania użytkownika, a także informacji o kontach Google, do których jest on zalogowany. Winnym jest implementacja Safari IndexedDB na macOS i iOS. Za jej sprawą strony internetowe mogą zobaczyć nazwy baz danych dla dowolnej domeny, nie tylko własnej.

Safari nie gwarantuje odpowiedniego poziomu prywatności

Korzystając z exploita opisanego we wzmiankowanym blogu, odwiedzana przez internautę witryna może pobrać jego identyfikator użytkownika Google, a następnie użyć go do znalezienia innych danych osobowych o tej osobie. Przypominam, iż identyfikator ten jest wykorzystywany do wysyłania żądań API do usług Google. Błąd dotyczy tylko nazw baz danych, a nie samej ich zawartości.

W skrócie: błąd polega na tym, że nazwy wszystkich baz danych IndexedDB są dostępne dla każdej witryny; dostęp do rzeczywistej zawartości każdej bazy danych jest ograniczony. Poprawka polegałaby na tym, że witryna internetowa mogłaby widzieć tylko bazy danych utworzone przez tę samą nazwę domeny, co jej własna.

Jeżeli interesuje Cię to, jak dokładnie działa bug, odwiedź stronę internetową safarileaks.com na Safari 15 na macOS lub dowolnej innej przeglądarce w iOS 15 lub iPadOS 15. Demo ilustruje, w jaki sposób dowolna witryna internetowa może powziąć informacje o ostatniej i bieżącej aktywności użytkownika podczas przeglądania (witryny odwiedzane w różnych kartach lub oknach). W przypadku odwiedzających zalogowanych w usługach Google demo może również ujawnić identyfikatory użytkowników Google i ich zdjęcia profilowe.

Powyższe demo przechowuje tylko tabelę przeglądową, zawierającą około 30 nazw domen, jednak nie ma powodu, aby ta technika nie mogła być zastosowana do znacznie większego ich zbioru. W zasadzie każda witryna internetowa, która korzysta z interfejsu IndexedDB JavaScript API, może zbierać omawiane dane.

FingerprintJS twierdzi, że błąd zgłoszono Apple 28 listopada, ale po dziś dzień nie został on usunięty.

Źródło: fingerprintjs

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.