Safarin keresztül kiszivároghatnak a felhasználók Google adatai és böngészési előzményei

 

Probléma adódott a Safari WebKit motorjában az IndexedDB API implementációjával, aminek hatására valós időben szivároghatnak ki információk a felhasználó böngészési tevékenységéről. Az IndexedDB egy széles körben használt böngésző API, amely egy sokoldalú kliensoldali tárolórendszer. Általában webes alkalmazások adatainak gyorsítótárazására használják offline megtekintéshez, míg a modulok, fejlesztői eszközök és böngészőbővítmények érzékeny információk tárolására is használhatják. Az XSS támadásokból eredő adatszivárgások megelőzése érdekében az IndexedDB a same-origin irányelvet követi, és ellenőrzi, hogy mely erőforrások férhetnek hozzá az egyes adatokhoz.

A FingerprintJS elemzői felfedezték azonban, hogy az IndexedDB API mégsem követi a same-origin irányelvet a Safari 15 macOS verzió által használt WebKit implementációban, ami érzékeny adatok felfedéséhez vezetett. Ez az adatvédelmi jogsértő hiba az iOS és iPadOS legújabb verzióit is érinti.

Az elemzők szerint ahhoz, hogy valakit ezen a hibán keresztül azonosítani lehessen, be kell jelentkezni és meg kell látogatni olyan népszerű webhelyeket vagy szolgáltatásokat, mint a YouTube, Facebook, Google Calendar vagy Google Keep. A bejelentkezés ezeken az oldalakon egy új IndexedDB adatbázist hoz létre, és a Google felhasználói azonosítóját csatolja a nevéhez. Ha több Google fiók van használatban, akkor mindegyikhez külön adatbázisok jönnek létre.

Bizonyos esetekben, amikor az aloldalak UUID (universally unique identifiers – univerzálisan egyedi azonosítók) adatbázisokat hoznak létre, a Safari nyomkövetést blokkoló rendszerei beavatkoznak, hogy megakadályozzák az információk kiszivárgását. Ez a hatás tovább erősödhet, ha reklámblokkoló bővítmények is használatban vannak. Mivel ez a WebKit problémája, minden olyan böngésző, amely ezt az adott motort használja (pl. Brave vagy Chrome for iOS), szintén sebezhető.

A sebezhetőséget 2021. november 28-án jelentették a WebKit Bug Tracker-nek és 2022. január 17-én még mindig nincs javítva. A probléma enyhítésének egyik módja – a biztonsági frissítések eléréséig – az összes JavaScript blokkolása, de ez egy drasztikus intézkedés, amely biztosan funkcionalitási problémákat okoz számos weboldalon. A nem WebKit alapú webböngészőre való váltás az egyetlen járható megoldás, de ez csak a macOS-re vonatkozik. Az iOS és iPadOS rendszereken minden webböngésző érintett.

Ha meg szeretné állapítani, hogy a hiba hatással van-e a böngészőjére, akkor látogasson el erre a bemutató oldalra.

(bleepingcomputer.com)