Safari nie gwarantuje odpowiedniego poziomu prywatności
Korzystając z exploita opisanego we wzmiankowanym blogu, odwiedzana przez internautę witryna może pobrać jego identyfikator użytkownika Google, a następnie użyć go do znalezienia innych danych osobowych o tej osobie. Przypominam, iż identyfikator ten jest wykorzystywany do wysyłania żądań API do usług Google. Błąd dotyczy tylko nazw baz danych, a nie samej ich zawartości.
W skrócie: błąd polega na tym, że nazwy wszystkich baz danych IndexedDB są dostępne dla każdej witryny; dostęp do rzeczywistej zawartości każdej bazy danych jest ograniczony. Poprawka polegałaby na tym, że witryna internetowa mogłaby widzieć tylko bazy danych utworzone przez tę samą nazwę domeny, co jej własna.
Jeżeli interesuje Cię to, jak dokładnie działa bug, odwiedź stronę internetową safarileaks.com na Safari 15 na macOS lub dowolnej innej przeglądarce w iOS 15 lub iPadOS 15. Demo ilustruje, w jaki sposób dowolna witryna internetowa może powziąć informacje o ostatniej i bieżącej aktywności użytkownika podczas przeglądania (witryny odwiedzane w różnych kartach lub oknach). W przypadku odwiedzających zalogowanych w usługach Google demo może również ujawnić identyfikatory użytkowników Google i ich zdjęcia profilowe.
Powyższe demo przechowuje tylko tabelę przeglądową, zawierającą około 30 nazw domen, jednak nie ma powodu, aby ta technika nie mogła być zastosowana do znacznie większego ich zbioru. W zasadzie każda witryna internetowa, która korzysta z interfejsu IndexedDB JavaScript API, może zbierać omawiane dane.
FingerprintJS twierdzi, że błąd zgłoszono Apple 28 listopada, ale po dziś dzień nie został on usunięty.
Źródło: fingerprintjs