Apple: Σφάλμα στο Safari μπορεί να βγάλει στη φόρα προσωπικά σας δεδομένα

Ένα σφάλμα στο Safari 15 στα λογισμικά της Apple μπορεί να διαρρεύσει την πρόσφατη δραστηριότητα περιήγησής σας αλλά και τα προσωπικά σας αναγνωριστικά. Το σφάλμα θα μπορούσε να εκθέσει την ταυτότητα χρήστη Google σε άλλους ιστότοπους.

Σύμφωνα με την FingerprintJS, μια υπηρεσία αναζήτησης δακτυλικών αποτυπωμάτων και ανίχνευσης απάτης του προγράμματος περιήγησης (μέσω 9to5Mac), υπάρχει ένα σοβαρό σφάλμα στο Safari 15 το οποίο μπορεί να διαρρεύσει τη δραστηριότητα περιήγησής σας και μπορεί επίσης να αποκαλύψει ορισμένες από τις προσωπικές πληροφορίες που συνδέονται με τον λογαριασμό σας Google. Η ευπάθεια προέρχεται από ένα πρόβλημα με την εφαρμογή του IndexedDB από την Apple, μιας διεπαφής προγραμματισμού εφαρμογών (API) που αποθηκεύει δεδομένα στο πρόγραμμα περιήγησής σας.

Όπως εξηγείται από τη FingerprintJS, το IndexedDB συμμορφώνεται με την πολιτική «ίδιας προέλευσης», η οποία περιορίζει την αλληλεπίδραση μιας προέλευσης με δεδομένα που συλλέχθηκαν από άλλες προελεύσεις. Ουσιαστικά, μόνο ο ιστότοπος που δημιουργεί δεδομένα μπορεί να έχει πρόσβαση σε αυτά. Για παράδειγμα, εάν ανοίξετε τον λογαριασμό email σας σε μια καρτέλα και στη συνέχεια ανοίξετε μια κακόβουλη ιστοσελίδα σε μια άλλη, η πολιτική ίδιας προέλευσης αποτρέπει την προβολή της κακόβουλης σελίδας και την ανάμειξη με το email σας.

Η FingerprintJS διαπίστωσε ότι η εφαρμογή της Apple για το IndexedDB API στο Safari 15 παραβαίνει στην πραγματικότητα την πολιτική της «ίδιας προέλευσης». Δηλαδή, όταν ένας ιστότοπος αλληλεπιδρά με μια βάση δεδομένων στο Safari, το FingerprintJS λέει ότι «δημιουργείται μια νέα (κενή) βάση δεδομένων με το ίδιο όνομα σε όλα τα άλλα ενεργά πλαίσια, καρτέλες και παράθυρα στην ίδια περίοδο λειτουργίας προγράμματος περιήγησης».

Αυτό σημαίνει ότι άλλοι ιστότοποι μπορούν να δουν το όνομα άλλων βάσεων δεδομένων που δημιουργήθηκαν αλλού, οι οποίες θα μπορούσαν να περιέχουν λεπτομέρειες ειδικά για την ταυτότητά σας. Το FingerprintJS σημειώνει ιστότοπους που χρησιμοποιούν τον λογαριασμό σας Google, όπως το YouTube, το Ημερολόγιο Google και το Google Keep, όλοι δημιουργούν βάσεις δεδομένων με το μοναδικό αναγνωριστικό χρήστη Google στο όνομά του. Το αναγνωριστικό χρήστη Google επιτρέπει στην Google να έχει πρόσβαση στις δημόσια διαθέσιμες πληροφορίες, όπως η φωτογραφία του προφίλ σας, την οποία το σφάλμα Safari μπορεί να εκθέσει σε άλλους ιστότοπους.

Οι ιστότοποι που επηρεάζονται από το σφάλμα της Apple και τι μπορείτε να κάνετε γι’ αυτό

Το FingerprintJS δημιούργησε ένα demo απόδειξης της ιδέας που μπορείτε να δοκιμάσετε εάν έχετε Safari 15 και πάνω σε συσκευές της Apple. Tο demo χρησιμοποιεί την ευπάθεια IndexedDB του προγράμματος περιήγησης για να αναγνωρίσει τους ιστότοπους που ανοίξατε (ή ανοίξατε πρόσφατα) και δείχνει πώς οι ιστότοποι που εκμεταλλεύονται το σφάλμα μπορούν να αφαιρέσουν πληροφορίες από το αναγνωριστικό χρήστη Google. Προς το παρόν εντοπίζει μόνο 30 δημοφιλείς ιστότοπους που επηρεάζονται από το σφάλμα, όπως το Instagram, το Netflix, το Twitter, το Xbox, αλλά πιθανότατα επηρεάζει πολύ περισσότερους.

Δυστυχώς, δεν μπορείτε να κάνετε πολλά για να αντιμετωπίσετε το πρόβλημα, καθώς το FingerprintJS λέει ότι το σφάλμα επηρεάζει επίσης τη λειτουργία Ιδιωτικής περιήγησης στο Safari. Μπορείτε να χρησιμοποιήσετε διαφορετικό πρόγραμμα περιήγησης στο macOS, αλλά η απαγόρευση της μηχανής προγράμματος περιήγησης τρίτου μέρους της Apple στο iOS σημαίνει ότι επηρεάζονται όλα τα προγράμματα περιήγησης. Η FingerprintJS ανέφερε τη διαρροή στο WebKit Bug Tracker στις 28 Νοεμβρίου, αλλά δεν έχει υπάρξει ακόμη ενημέρωση στο Safari. Το The Verge επικοινώνησε με την Apple με αίτημα για σχόλιο, αλλά δεν έλαβε αμέσως απάντηση.

Την παραπάνω αποκάλυψη έκανε το theverge.com.

This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) January 16, 2022