Greška u Appleovom pregledniku omogućava širenje informacija o internetskim aktivnostima i osobne identifikatore poput onog za Googleove usluge
Bug u Safariju 15 mogao bi razotkriti vašu povijest surfanja te otkriti neke osobne informacije vezane uz vaš Google račun, kaže FingerprintJS, usluga posvećena prepoznavanju prevara u preglednicima. 9to5Mac piše da se ranjivost pojavila nakon što je Apple uveo IndexedDB, API koji informacije o surfanju pohranjuje unutar preglednika.
IndexedDB, prema FingerprintJS-u prati pravilo 'istog izvora' što znači da ograničenja jednog izvora mogu vršiti interakciju samo s podacima koja su izravno povezani s tim izvorom - drugim riječima, samo stranica koja proizvodi podatke te podatke može i koristiti. Primjerice, ako otvorite email u jednoj kartici i zloćudnu stranicu u drugoj, ovo pravilo bi spriječilo zloćudnu stranicu od pristupanja podacima koje imate otvorene u emailu.
Prema izvješću, Appleova primjena IndexedDB-ja u Safariju 15 to pravilo zapravo krši. Kad stranica vrši interakciju s bazom podataka u Safariju, FingerprintJS kaže da se 'stvara nova baza podataka s istim imenom u svim ostalim okvirima, karticama i prozorima unutar iste sesije surfanja'.
Ovo, ukratko, znači da druge stranice mogu vidjeti imena tuđih baza podataka koji mogu a i nemoraju u sebi imati vaše privatne podatke. FingerprintJS nalaže da stranice koje koriste vaš Google račun poput YouTubea, Google kalendara i Google Keepa generiraju baze podataka s vašim jedinstvenim Google ID-jem.
Podsjetimo, vaš koristnički ID Googleu pomaže pri pristupu vašim javno dostupnim infomracijama poput profilne slike koju, izgleda, bug u Safariju može poslati drugim stranicama.
VELIKA OBLJETNICA
[FOTO] Prije 15 godina svjetlo dana ugledala je prva generacija iPhonea, pogledajte kako je evoluirao najpoznatiji telefon na svijetu
FingerprintJS je napravio i demonstraciju koja prikazuje ovaj propust te koju možete isprobati na Macu, iPhoneu i iPadu. Demo pokazuje vaše nedavno otvorene stranice i demonstrira kako bug može sakupiti informaciju o vašem Google ID-ju. Izvješće nalaže da u ovom trenu bug zahvaća oko 30 popularnih stranica uključujući Instagram, Netflix i Xbox, no vrlo je izvjesno da ih ima još.
Također se čini da Apple oko cijele stvarni ne radi apsolutno ništa. Da stvar bude još gora, zbog zabrane korištenja drugih pokretača preglednika na iOS-u, ovaj bug je prisutan u svim preglednicima na iPhoneu.
Propust je aktivan još od 28. studenog prošle godine, no Apple još nije nadogradio svoj posrnuli preglednik, zaključuje Verge.