Apple naprawia błąd w Safari, który wyświetla aktywność online i dane osobowe użytkowników

Apple naprawia błąd w Safari, który wyświetla aktywność online i dane osobowe użytkowników

Apple twierdzi, że „naprawia” „poważny” błąd w przeglądarce Safari, który ujawnia aktywność online i dane osobowe użytkowników w witrynach takich jak Google i YouTube

  • W Safari 15 firmy Apple wykryto błąd, który ujawnia aktywność online i dane osobowe użytkowników innym witrynom
  • Ta usterka pozwala również witrynom „zobaczyć”, jakie inne witryny odwiedzają użytkownicy iOS w różnych kartach lub oknach.
  • Inżynierowie Apple przygotowują się do naprawy, według 9to5Mac, która ma zostać wkrótce udostępniona użytkownikom – ale gigant technologiczny nie ujawnił, kiedy


Wykryto błąd w Safari 15, najnowszej wersji domyślnej wyszukiwarki Apple, która ujawnia aktywność online użytkowników i osobiste dane online.

odkryty wcześniej odcisk palcabłąd umożliwia dowolnej witrynie korzystającej z interfejsu IndexedDB (interfejs API JavaScript) przechowywanie danych po stronie klienta w celu uzyskania dostępu do nazw baz danych IndexedDB utworzonych przez inne witryny podczas sesji przeglądania użytkownika.

Ta usterka pozwala również witrynom „zobaczyć”, jakie inne witryny odwiedzają użytkownicy iOS w różnych kartach lub oknach.

A ponieważ niektóre strony internetowe używają unikalnych identyfikatorów użytkownika w nazwach baz danych, informacje o użytkownikach są łatwo dostępne.

FingerprintJS to lista witryn, które obejmują YouTube, Kalendarz Google i Google Keep.

według 9to5Macktóry ma zostać wkrótce udostępniony użytkownikom – ale gigant technologiczny nie ujawnił jeszcze, kiedy.

FingerprintJS udostępnił w poście na blogu „Fakt, że nazwy baz danych wyciekają z różnych źródeł, jest wyraźnym naruszeniem prywatności”.

Pozwala dowolnym stronom internetowym wiedzieć, które witryny odwiedza użytkownik w różnych zakładkach lub oknach.

Jest to możliwe, ponieważ nazwy baz danych są zazwyczaj unikalne i specyficzne dla witryny. Ponadto zauważyliśmy, że w niektórych przypadkach witryny internetowe używają w nazwach baz danych unikalnych identyfikatorów specyficznych dla użytkownika.

„Oznacza to, że uwierzytelnieni użytkownicy mogą być jednoznacznie i dokładnie identyfikowani”.

Inżynierowie Apple przygotowują się do naprawy, według 9to5Mac, która ma zostać wkrótce udostępniona użytkownikom – ale gigant technologiczny nie ujawnił, kiedy

Inżynierowie Apple przygotowują się do naprawy, według 9to5Mac, która ma zostać wkrótce udostępniona użytkownikom – ale gigant technologiczny nie ujawnił, kiedy

FingerprintJS przeskanował również 1000 najczęściej odwiedzanych witryn Alexa, aby zobaczyć, ile witryn korzysta z IndexedDB i można je jednoznacznie zidentyfikować na podstawie baz danych, z którymi wchodzą w interakcję.

Wyniki pokazują, że ponad 30 witryn wchodzi w interakcję z zaindeksowanymi bazami danych bezpośrednio na ich stronie głównej, bez dodatkowej interakcji użytkownika lub konieczności uwierzytelniania.

FingerprintJS udostępnił: „Podejrzewamy, że ta liczba jest znacznie wyższa w rzeczywistych scenariuszach, w których strony internetowe mogą wchodzić w interakcje z bazami danych na podstronach, po określonych działaniach użytkownika lub na uwierzytelnionych częściach strony”.

Chociaż Apple potwierdziło istnienie błędu, użytkownicy nie mogą wiele zrobić, aby się chronić, dopóki gigant technologiczny go nie naprawi.

Jednak FaureprintJS sugeruje domyślne blokowanie całego JavaScript i zezwalanie na to tylko w zaufanych witrynach.

Użytkownicy mogą również przełączyć się na inną przeglądarkę, dopóki Apple nie wprowadzi poprawki.

Według FareprintJS „Jedyną prawdziwą ochroną jest aktualizacja przeglądarki lub systemu operacyjnego po rozwiązaniu problemu przez Apple”.

READ  Android 12: Czy Twój telefon jest kompatybilny?

Reklamy

Randolph Howe

„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.

Rekomendowane artykuły

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *