Safari-Fehler 15 kann Ihre letzten Browseraktivitäten und persönlichen Kennungen preisgeben
Fehler in Safari 15 Es kann Ihre Browsing-Aktivitäten durchsickern lassen, und es könnte auch einige persönliche Informationen preisgeben, die mit Ihrem Google-Konto verknüpft sind Ergebnisse von FingerprintJS, ein Browser-Fingerabdruck- und Betrugserkennungsdienst (via 9to5Mac). Die Schwachstelle ergibt sich aus einem Problem mit der Apple-App für indizierte dbEine Anwendungsprogrammierschnittstelle (API), die Daten in Ihrem Browser speichert.
Wie von FingerprintJS hervorgehoben, hält sich IndexedDB an eine Erweiterung Gleiche Ursprungspolitik, die eine Quelle daran hindert, mit Daten zu interagieren, die von anderen Assets gesammelt wurden – im Grunde kann nur die Website, die die Daten generiert, darauf zugreifen. Wenn Sie beispielsweise Ihr E-Mail-Konto auf einer Registerkarte öffnen und dann eine bösartige Webseite auf einer anderen Registerkarte öffnen, verhindert dieselbe Quellrichtlinie, dass die bösartige Seite Ihre E-Mails anzeigt und stört.
FingerprintJS hat festgestellt, dass Apples Implementierung der IndexedDB-API in Safari 15 bereits gegen dieselbe Quellrichtlinie verstößt. Wenn eine Website mit einer Datenbank in Safari interagiert, sagt FingerprintJS, dass „in allen anderen aktiven Fenstern, Registerkarten und Fenstern in derselben Browsersitzung eine neue (leere) Datenbank mit demselben Namen erstellt wird“.
Dies bedeutet, dass andere Websites die Namen anderer Datenbanken sehen können, die auf anderen Websites erstellt wurden und möglicherweise Angaben zu Ihrer Identität enthalten. FingerprintJS Notes Websites, die Ihr Google-Konto verwenden, wie z. B. YouTube, Google Kalender und Google Keep, erstellen alle Datenbanken mit Ihrer eindeutigen Google-Benutzer-ID in ihrem Namen. Ihre Google-Benutzer-ID ermöglicht Google den Zugriff auf Ihre öffentlich zugänglichen Informationen, z. B. Ihr Profilbild, das der Safari-Fehler anderen Websites offenlegen kann.
Das ist ein riesiges Insekt. In OSX können Safari-Benutzer (vorübergehend) zu einem anderen Browser wechseln, um zu verhindern, dass ihre Daten durch die Assets gelangen. iOS-Nutzer haben eine solche Option nicht, da Apple andere Browser-Engines blockiert. https://t.co/aXdhDVIjTT
– Jake Archibald (@jaffathecake) 16. Januar 2022
FingerprintJS wurde erstellt Zeigen Sie den Machbarkeitsnachweis Sie können es versuchen, wenn Sie Safari 15 und höher auf Ihrem Mac, iPhone oder iPad haben. Die Demo verwendet die IndexedDB-Schwachstelle des Browsers, um Websites zu identifizieren, die Sie geöffnet haben (oder kürzlich geöffnet haben), und zeigt, wie der Fehler Informationen von Ihrer Google-Benutzer-ID kratzt. Es erkennt derzeit nur 30 beliebte Websites, die von dem Fehler betroffen sind, wie Instagram, Netflix, Twitter und Xbox, aber es wird wahrscheinlich eine viel größere Auswirkung haben.
Leider können Sie nicht viel tun, um dieses Problem zu umgehen, da FingerprintJS sagt, dass der Fehler auch den privaten Browsermodus von Safari betrifft. Sie können unter macOS aber einen anderen Browser verwenden Apples Browser-Engine von Drittanbietern blockiert iOS Das bedeutet, dass alle Browser betroffen sind. FingerprintJS hat das Leck am 28. November an WebKit Bug Tracker gemeldet, aber es gab noch kein Update für Safari. die Kante Ich habe Apple kontaktiert, um einen Kommentar anzufordern, aber es gab keine sofortige Antwort.
„Lebenslanger Social-Media-Liebhaber. Fällt oft hin. Schöpfer. Leidenschaftlicher Feinschmecker. Entdecker. Typischer Unruhestifter.“