Luka w zabezpieczeniach przeglądarki Safari 15 umożliwia złośliwym programom śledzenie aktywności użytkowników w Internecie i ujawnianie ich tożsamości
Niedawno ujawniony błąd Apple Safari 15 może być wykorzystywany przez nikczemne witryny do wyodrębniania historii przeglądania ludzi i uzyskiwania ich identyfikatora Google w celu zebrania większej ilości danych osobowych, donosi detektor oszustw.
Problem zidentyfikowany przez FingerprintJS, usługę wykrywania oszustw związanych z odciskami palców w przeglądarce, polega na IndexedDB - interfejsie programowania aplikacji lub API, używanym do przechowywania dużych ilości danych w przeglądarce.
Zwykle takie interfejsy gromadzenia danych działają w ramach polityki "tego samego pochodzenia": umożliwiają one tylko stronom internetowym, z którymi dana osoba wchodzi w interakcję, dostęp do danych generowanych przez każdą taką stronę internetową, ale nie przez inne.
Na przykład, jeśli dana osoba otworzy swoje konto e-mail na jednej karcie przeglądarki, a inna strona sieci Web na drugiej, ta strona sieci Web nie będzie mogła uzyskać dostępu do żadnych danych związanych z pocztą e-mail.
Jeśli jednak chodzi o Safari 15, tak nie jest. Ze względu na zastosowanie przez Apple IndexedDB API, za każdym razem, gdy strona internetowa wchodzi w interakcję z bazą danych przeglądarki, tworzona jest nowa baza danych o tej samej nazwie dla wszystkich innych aktywnych kart.
Oznacza to, że każda taka witryna może uzyskać dostęp do nazw baz danych dla wszystkich innych witryn, z którymi dana osoba wchodzi w interakcję w tym samym czasie.
Właściciele MacOS mogą potencjalnie po prostu użyć przeglądarki innej niż Safari, aby obejść błąd, ale właściciele iPhone'a i iPada niewiele mogą zrobić, ponieważ blokada silnika przeglądarki innej firmy Apple na wszystkich urządzeniach z systemem iOS oznacza, że dotyczy to wszystkich przeglądarek.
Dotyczy to również trybu prywatnego w przeglądarce Safari 15.Może to być szczególnie niepokojące, gdy dana osoba wchodzi w interakcję z niektórymi stronami internetowymi wymagającymi pewnych danych osobowych, takich jak konta YouTube lub Google.
Wszelkie strony powiązane z identyfikatorem Google tworzą bazy danych z unikalnym identyfikatorem użytkownika Google danej osoby w ich imieniu, które są następnie de facto udostępniane wszystkim innym witrynom, które dana osoba otwiera, a zatem mogą być potencjalnie wykorzystywane przez nikczemne podmioty, w tym do uzyskania większej ilości danych osobowych po poznaniu identyfikatora Google.
FingerprintJS stworzył nawet specjalne demo, aby pokazać, w jaki sposób dane witryny, historia przeglądania i dane osobowe są gromadzone przez Safari w sposób, który ujawnia zdjęcie profilowe danej osoby.
Powiedział również, że zgłosił problem do WebKit Bug Tracker 28 listopada, ale żadne aktualizacje w celu rozwiązania problemu nie zostały jeszcze wydane.
Apple do tej pory nie odpowiedział również na prośby mediów o komentarz.
Przetlumaczono przez translator Google
zrodlo:https://www.rt.com/
Brak komentarzy:
Prześlij komentarz