Само неколико дана након што је Аппле поправио грешку која је могла дозволити хакеру да пошаље ваш иПхоне у бескрајну петљу рушења, ФингерпринтЈС је открио рањивост Сафари-ја која би могла да сачува вашу интернет активност и личне податке са веб локације. Али може да се отвори.
Грешка потиче од ИндекедДБ АПИ-ја, који се користи за складиштење великих количина структурираних података на страни клијента, према Мозили. Како ФингерпринтЈС истиче, пошто је ИндекедДБ АПИ ниског нивоа који користе сви главни претраживачи, многи програмери „изабрају да користе омоте који апстрахују већину техничких детаља и пружају АПИ који је лакши за коришћење и прилагођенији програмерима“. обезбедити“.
Као таква, према ФингерпринтЈС-у, Сафари-јева верзија ИндекедДБ-а нарушава сигурносни механизам истог порекла, који би могао да дозволи да документ или скрипта учитана из једног извора ступа у интеракцију са ресурсима из другог порекла. Стога произвољне веб локације могу шпијунирати друге веб локације које корисници посећују на различитим картицама или прозорима.
Пошто неки веб-сајтови користе јединствене идентификаторе специфичне за кориснике у именима база података, ФингерпринтЈС наводи да корисници са аутентификацијом могу бити „јединствено и тачно идентификовани” на сајтовима као што су ИоуТубе, Гоогле календар и Гоогле. Задржати. А пошто ћете бити пријављени на ове сајтове користећи свој Гоогле ИД, базе података креиране за овај налог могу да процуре, укључујући личне податке. ФингерпринтЈС је открио неколико других локација рањивих на грешку, укључујући Твиттер и Блоомберг.
Можете видети грешку у акцији користећи демо који је креирао ФингерпринтЈС. Једино познато ублажавање је пребацивање претраживача на мацОС. Корисници иОС-а и иПадОС-а имају мање опција због Апплеовог руковања претраживачем, иако ФингерпринтЈС напомиње да корисници могу подразумевано блокирати сав ЈаваСцрипт и дозволити га само на поузданим сајтовима. , То или само сачекајте да стигне ажурирање. Аппле се тренутно припрема за издавање иОС-а 15.3 и мацОС-а 12.2, али није јасно да ли ово укључује исправку за Сафари.
Мајкл Сајмон покрива Аппле још од иПод иВалка. Његова страст за технологијом датира још од његовог првог рачунара, ИБМ ТхинкПад-а, са тастатуром која се отвара за замену дискова. Још увек чека да се врати у стилу.
цурење
Када посетите веб локацију која користи локалну базу података у новој картици, нова празна база података са истим именом се креира у свим другим картицама и прозорима (осим приватних).
Већина сајтова који користе ове базе података дају име бази података које јасно показује о којој се локацији ради. Резултат је да сви остали отворени сајтови теоретски могу да виде који сте сајт управо отворили. Када затворите картицу, ове базе података се бришу, али до тада је већ касно.
ФингерпринтЈС објашњава: „Чињеница да имена база података цуре из различитих извора је јасна повреда приватности.“ „Омогућава произвољним веб локацијама да знају које веб локације корисник посећује на различитим картицама или прозорима.“
Озбиљнији проблеми са Гоогле-ом
Нажалост, ту се не завршава. Неки сајтови такође користе јединствена имена која се могу повезати са одређеним корисником. Гугл је овде највећи и најгори пример. То је зато што Гоогле користи интерни кориснички ИД као име базе података, што значи да ће сајтови програмирани да искористе Сафари грешку открити интерни ИД код вашег Гоогле налога.
Као да то није довољно, креира се и база података за сваки Гоогле налог на који сте пријављени. На пример, ако сте пријављени на лични и пословни налог, шпијунски сајт ће знати за оба и може сакрити везу између њих.
наша препорука
Док Аппле не поправи грешку, препоручујемо да се не пријављујете на Гоогле у Сафарију. Ову грешку је лако искористити и гарантовано је да ће је користити бескрупулозни програмери за креирање база података јединствених Гоогле ИД-ова корисника.
У ствари, корисницима којима је стало до приватности може се саветовати да једноставно користе нови приватни прозор за сваку страницу коју посете, или до тада користе алтернативни претраживач који приватност схвата озбиљно, као што је Фирефок или Браве.
Заокружујемо најбоље Мац претраживаче и најбоље иПхоне претраживаче у посебним чланцима.