הפגיעות מסתכמת בבעיה ב-WebKit של אפל. קרדיט: רפאל הנריקה / SOPA Images / LightRocket דרך Getty Images
ניתן לנצל פגיעות ב-Safari כדי לחשוף את היסטוריית הדפדפן שלך - ואולי אלמנטים של הזהות שלך.
נחשף ב אפוסט בבלוג בשבת מאת FingerprintJS, הבאג הוצג ל-Safari 15 דרך הAPI של מסד נתונים באינדקס(IndexedDB), שהוא חלק מאפלWebKitמנוע פיתוח דפדפן אינטרנט. במילים פשוטות, ניתן להשתמש ב- IndexedDB כדי לשמור נתונים במחשב שלך כמו אתרים שבהם ביקרת, מה שגורם להם להיטען מהר יותר כשאתה חוזר אליהם מאוחר יותר.
IndexedDB גם בדרך כלל עוקב אחר המדיניות של אותו מקורמנגנון אבטחה, שאינו מאפשר לאתרים לקיים אינטראקציה חופשית אחד עם השני אלא אם כן יש להם אותו שם דומיין (בין היתר). תחשוב על זה כמו להיות בהסגר ולאפשר לך לבלות רק עם בני הבית שלך. כך למשל, נטפליקס לא יכולה לגשת לנתונים השמורים של IndexedDB כדי לגלות שבגדת בהם עם YouTube.
ראה גם:
לרוע המזל, הבאג שנחשף על ידי FingerprintJS גורם ל- IndexedDB להפר את מדיניות אותו המקור, וחושף נתונים שהיא אספה לאתרים שמהם לא אספה אותם. גרוע מכך, חלק מהאתרים כמו אלה ברשת של גוגל משתמשים במזהים ייחודיים ספציפיים למשתמש בנתונים המסופקים ל- IndexedDB. המשמעות היא שאם אתה מחובר לחשבון Google שלך, ניתן להשתמש בנתונים שנאספו כדי לזהות במדויק הן את היסטוריית הגלישה והן את פרטי החשבון שלך. ואם אתה מחובר ליותר מחשבון אחד, זה יכול להבין גם את זה.
מהירות אור ניתנת לריסוק
"לא רק שזה מרמז שאתרים לא מהימנים או זדוניים יכולים ללמוד את זהות המשתמש, אלא זה גם מאפשר לקשר יחד של מספר חשבונות נפרדים המשמשים אותו משתמש", כתב FingerprintJS. הם גם שחררו אהַפגָנָהמראה את סוג המידע שהניצול יכול לחשוף.
טביעת אצבעJSדיווח על הבאגבסוף נובמבר האחרון, אבל אפל עדיין לא תיקנה את זה. Mashable פנה לאפל לתגובה.
כל זה מדאיג, אבל אין הרבה שאתה יכול לעשות בקשר לזה כרגע. גלישה במצב הפרטי של ספארי יכולה להפחית את הנזק הפוטנציאלי, שכן כרטיסייה פרטית לא יכולה לדעת מה קורה בכרטיסיות אחרות ללא קשר אם הן פרטיות או ציבוריות. עם זאת זה עדיין לא חסין תקלות.
"[אם] אתה מבקר במספר אתרים שונים באותה כרטיסייה [פרטית], כל מסדי הנתונים שהאתרים האלה מקיימים איתם אינטראקציה דולפים לכל האתרים שבהם ביקרו לאחר מכן", כתב FingerprintJS.
משתמשי Mac יכולים להימנע מהפגיעות על ידי מעבר מ-Safari לדפדפן אחר, אבל לאנשים ב-iOS או ב-iPadOS אין מזל. בעוד שרק Safari הושפע על Mac, הדרישה של אפל שכל דפדפני האינטרנט של iOS ו-iPad ישתמשו ב-WebKit פירושה שהבאג של IndexedDB השפיע על כל דפדפן במערכות אלו. הדבר הטוב ביותר שאנו יכולים לעשות הוא לחכות עד שאפל תצא עם תיקון, לעבור לאנדרואיד או פשוט להתנתק.
אמנדה יאו היא עוזרת עורכת ב-Mashable, שמסקרת בידור, תרבות, טכנולוגיה, מדע וטובים חברתיים. מבוססת באוסטרליה, היא כותבת על כל דבר, ממשחקי וידאו ו-K-Pop ועד סרטים וגאדג'טים.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
