Uwaga na lukę w Safari – może ujawnić historię i dane konta Google
Bardzo dobra opinia o przeglądarce Safari zaczyna mieć skazę.
Żaden inny system operacyjny nie jest tak chwalony pod kątem bezpieczeństwa, jak system oferowany przez Apple. Chodzi zarówno o urządzenia mobilne (iOS), jak i komputery (macOS). Okazuje się właśnie, że przeglądarka od Apple, czyli Safari w wersji na komputery posiada dość poważną lukę bezpieczeństwa.
I nie jest to luka łatwa do usunięcia, bo na razie nie otrzymaliśmy żadnych łatek. Według doniesień na blogu FingerprintJS, błąd może pozwolić na ujawnienie nie tylko historii przeglądarki, ale także konta i dane naszej osoby z konta Google.
Luka w Safari
Luka ta pojawiła się w Safari 15, która to wersja miała premierę kilka tygodni temu. W opiniach użytkowników aktualizacja otrzymała bardzo dobre oceny, ładowanie stron mocno przyspieszyło, a poprawiony interfejs jest jeszcze bardziej przyjazny. Okazuje się, że nie obyło się bez kosztów takich zmian. Dziura pojawia się w interfejsie Indexed Database API (IndexedDB). Jak tłumaczy to serwis mashable.com:
IndexedDB jest częścią silnika programistycznego przeglądarki internetowej WebKit firmy Apple. Mówiąc prościej, IndexedDB może być używany do zapisywania danych na twoim komputerze, takich jak odwiedzane strony internetowe, dzięki czemu ładują się one szybciej, gdy wrócisz do nich później.
Tak pobrane dane są dostępne tylko dla tej domeny, która je zapisała. Przykładowo YouTube zapisuje jakieś pliki i tylko youtube.com może do nich „zajrzeć”, a już Google.com – nie. Jednak znaleziony bład pomija to zabezpieczenie i daje dostęp do danych tym witrynom, które ich nie zapisały. W przypadku Google, ich baza zapisuje nasze dane logowania jako unikalne nazwy użytkownika, przez co jesteśmy bardzo łatwi do zindentyfikowania, również przez osoby niepowołane.
FingerprintJS odkrył tę lukę już w grudniu ubiegłego roku i standardowo zostało wysłane zgłoszenie do Apple. Gigant z Cupertino jednak nie odpowiedział i co gorsze nie podjął żadnych działań w celu zabezpieczenia swoich użytkowników. Jeśli chcecie poczytać więcej na temat technicznych kwestii tej luki, odsyłam do artykułu na FingerprintJS.