Πολύ σοβαρό bug του Safari μπορεί να διαρρεύσει το ιστορικό σας

Επηρεάζει τόσο τα iPhone όσο και τους Mac υπολογιστές

Θέμης Μπολτσής Δευτέρα, 17 Ιανουαρίου 2022, 16:17

Αποθήκευση σε λίστα

Δεν υπάρχουν λίστες ακόμα

0/10 λίστες

Όπως μόλις έγινε γνωστό, ο Safari 15 έχει ένα πολύ σημαντικό κενό ασφαλείας, το οποίο μπορεί να οδηγήσει σε διαρροή προσωπικών δεδομένων, όπως είναι για παράδειγμα το ιστορικό των σελίδων που επισκεφτήκατε ή στοιχεία που σχετίζονται με τον Google λογαριασμό σας. Η ευπάθεια αυτή προέρχεται από τον τρόπο που ενσωματώνει η Apple το IndexedDB, ένα API που είναι υπεύθυνο για την αποθήκευση δεδομένων του browser.

Το FingerprintJS που εντόπισε το bug εξηγεί πως η χρήση του IndexedDB API στον Safari 15 δεν τηρεί το same-origin policy. Τι σημαίνει αυτό;

Το same-origin policy επιτρέπει μόνο στην πηγή που δημιούργησε τα δεδομένα να αλληλεπιδράσει με αυτά. Δηλαδή αν έχετε ανοίξει το e-mail σας σε μια καρτέλα, μόνο αυτή έχει πρόσβαση στο λογαριασμό σας και δε μπορεί για παράδειγμα να κλέψει τα στοιχεία σας μια άλλη ανοιχτή σελίδα με κακόβουλο κώδικα.

Επομένως, το bug του Safari είναι τρομερά σημαντικό, αφού ο browser δεν τηρεί αυτή την αρχή και μπορεί να εκθέσει προσωπικές σας πληροφορίες σε κακόβουλες σελίδες. Μάλιστα, το FingerprintJS δημιούργησε και ένα demo που αποδεικνύει το πρόβλημα, αφού δείχνει πως ο Safari μπορεί να διαρρεύσει τα στοιχεία σας από σελίδες όπως τα Instagram, Netflix, Twitter και από πολλούς ακόμη πασίγνωστους ισότοπους.

Το bug αυτό επηρεάζει όλα τα iPhone, iPads και τους Mac υπολογιστές.

This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022

Στην περίπτωση των Mac υπολογιστών προτείνεται να αλλάξετε άμεσα browser, μέχρι το πρόβλημα να διορθωθεί. Οι κάτοχοι iPhone και iPad δυστυχώς δεν έχουν κάποια άλλη λύση, αφού παρασκηνιακά γίνεται πάντα χρήση της μηχανής του Safari, ανεξαρτήτως του browser που έχετε επιλέξει.

Το FingerprintJS επισημαίνει πως η Apple ενημερώθηκε πρώτη φορά για το κενό ασφαλείας στις 28 Νοεμβρίου, αλλά ακόμη δεν έχει κυκλοφορήσει κάποια σχετική ενημέρωση.