Apple twierdzi, że „naprawia” „poważny” błąd w przeglądarce Safari, który ujawnia aktywność online i dane osobowe użytkowników w witrynach takich jak Google i YouTube
- W Safari 15 firmy Apple wykryto błąd, który ujawnia aktywność online i dane osobowe użytkowników innym witrynom
- Ta usterka pozwala również witrynom „zobaczyć”, jakie inne witryny odwiedzają użytkownicy iOS w różnych kartach lub oknach.
- Inżynierowie Apple przygotowują się do naprawy, według 9to5Mac, która ma zostać wkrótce udostępniona użytkownikom – ale gigant technologiczny nie ujawnił, kiedy
Wykryto błąd w Safari 15, najnowszej wersji domyślnej wyszukiwarki Apple, która ujawnia aktywność online użytkowników i osobiste dane online.
odkryty wcześniej odcisk palcabłąd umożliwia dowolnej witrynie korzystającej z interfejsu IndexedDB (interfejs API JavaScript) przechowywanie danych po stronie klienta w celu uzyskania dostępu do nazw baz danych IndexedDB utworzonych przez inne witryny podczas sesji przeglądania użytkownika.
Ta usterka pozwala również witrynom „zobaczyć”, jakie inne witryny odwiedzają użytkownicy iOS w różnych kartach lub oknach.
A ponieważ niektóre strony internetowe używają unikalnych identyfikatorów użytkownika w nazwach baz danych, informacje o użytkownikach są łatwo dostępne.
FingerprintJS to lista witryn, które obejmują YouTube, Kalendarz Google i Google Keep.
według 9to5Macktóry ma zostać wkrótce udostępniony użytkownikom – ale gigant technologiczny nie ujawnił jeszcze, kiedy.
Wykryto błąd w Safari 15, najnowszej wersji domyślnej wyszukiwarki Apple, która wyświetla aktywność online użytkowników i osobiste dane online
FingerprintJS udostępnił w poście na blogu „Fakt, że nazwy baz danych wyciekają z różnych źródeł, jest wyraźnym naruszeniem prywatności”.
Pozwala dowolnym stronom internetowym wiedzieć, które witryny odwiedza użytkownik w różnych zakładkach lub oknach.
Jest to możliwe, ponieważ nazwy baz danych są zazwyczaj unikalne i specyficzne dla witryny. Ponadto zauważyliśmy, że w niektórych przypadkach witryny internetowe używają w nazwach baz danych unikalnych identyfikatorów specyficznych dla użytkownika.
„Oznacza to, że uwierzytelnieni użytkownicy mogą być jednoznacznie i dokładnie identyfikowani”.
Inżynierowie Apple przygotowują się do naprawy, według 9to5Mac, która ma zostać wkrótce udostępniona użytkownikom – ale gigant technologiczny nie ujawnił, kiedy
FingerprintJS przeskanował również 1000 najczęściej odwiedzanych witryn Alexa, aby zobaczyć, ile witryn korzysta z IndexedDB i można je jednoznacznie zidentyfikować na podstawie baz danych, z którymi wchodzą w interakcję.
Wyniki pokazują, że ponad 30 witryn wchodzi w interakcję z zaindeksowanymi bazami danych bezpośrednio na ich stronie głównej, bez dodatkowej interakcji użytkownika lub konieczności uwierzytelniania.
FingerprintJS udostępnił: „Podejrzewamy, że ta liczba jest znacznie wyższa w rzeczywistych scenariuszach, w których strony internetowe mogą wchodzić w interakcje z bazami danych na podstronach, po określonych działaniach użytkownika lub na uwierzytelnionych częściach strony”.
Chociaż Apple potwierdziło istnienie błędu, użytkownicy nie mogą wiele zrobić, aby się chronić, dopóki gigant technologiczny go nie naprawi.
Jednak FaureprintJS sugeruje domyślne blokowanie całego JavaScript i zezwalanie na to tylko w zaufanych witrynach.
Użytkownicy mogą również przełączyć się na inną przeglądarkę, dopóki Apple nie wprowadzi poprawki.
Według FareprintJS „Jedyną prawdziwą ochroną jest aktualizacja przeglądarki lub systemu operacyjnego po rozwiązaniu problemu przez Apple”.
Reklamy
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.