Poważna luka bezpieczeństwa w Safari
W zeszły piątek firma FingerprintJS, która walczy z sieciowymi oszustami, szczegółowo opisała błąd w Safari 15, który mógł ujawniać aktywność przeglądania i dane osobowe. Ten błąd dotyczy Safari 15 na macOS, a także każdej przeglądarki na iOS i iPadOS. Nadal jest niezałatany.
Jak wyjaśnia FingerprintJS, luka jest wynikiem implementacji przez Apple interfejsu IndexedDB API w Safari. IndexedDB przechowuje dane podczas przeglądania. Odpowiada za zgodność z polityką mówiącą o tym, że dane i dokumenty z jednej witryny nie będą widoczne dla innej.
Safari 15 narusza te zasady. Gdy witryna odwiedzana w Safari wchodzi w interakcję z bazą danych, „nowa (pusta) baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych oknach, kartach i oknach w tej samej sesji przeglądarki na innych urządzeniach”. Nazwy baz danych tworzone przez Safari wyciekają teraz z różnych źródeł. Odwiedzane strony internetowe mogą zobaczyć nazwy innych utworzonych w bazie rekordów.
To już powód do niepokoju, a sytuacja się pogarsza. FingerprintJS zauważa również, że niektóre strony internetowe mają unikalne identyfikatory w nazwach baz danych. Witryny korzystające z konta Google, takie jak YouTube, Kalendarz Google czy Google Keep, tworzą bazy danych zawierające uwierzytelniony identyfikator użytkownika Google. Złośliwe strony internetowe mogą nie tylko zobaczyć taki identyfikator, ale także użyć go do połączenia wielu kont.
Co możesz zrobić, aby chronić swoje dane?
Jeśli nie możesz do końca zrozumieć, jak działa ten błąd, masz szczęście. Firma przygotowała demo, które pokaże dokładnie, w jaki sposób wyciekają dane.
Obsługiwane przeglądarki, to Safari 15 na macOS i praktycznie każda przeglądarka na iOS 15 lub iPadOS 15. Apple wymaga, aby wszystkie przeglądarki na swoich urządzeniach mobilnych korzystały z silnika WebKit, co oznacza, że wszystkie są podatne na ataki.
Zła wiadomość jest taka, że nic nie możesz zrobić, aby uniknąć tego błędu, dopóki Apple go nie naprawi. Dobrą wiadomością jest to, że Apple podobno rozpoczął prace nad poprawką od niedzieli. Firma Apple oznaczyła raport z FingerprintJS jako rozwiązany, ale poprawka nie została jeszcze udostępniona użytkownikom końcowym. Do tego czasu najlepiej będzie użyć innej przeglądarki na komputerze z systemem macOS. Jeśli chodzi o tych z nas, którzy korzystają z urządzeń z systemem iOS lub iPadOS, będziemy musieli unikać wszelkich złośliwych witryn, dopóki Apple nie wprowadzi poprawki błędu.
Krzysztof Kołacz
🎙️ O technologii i nas samych w podcaście oraz newsletterze „Bo czemu nie?”. ☕️ O kawie w podcaście „Kawa. Bo czemu nie?”. 🏃🏻♂️ Po godzinach biegam z wdzięczności za życie.
