Conform FingerprintJS, browser-ul Safari (de pe toate platformele) are o vulnerabilitate care permite extragerea datelor legate de istoricul de browsing și contul Google. Din păcate vulnerabilitatea este prezentă și pe iOS 15/iPadOS 15, indiferent de browser-ul folosit …
Problema este legată de platforma IndexDB (care stochează datele din browsing) unde nu este respectată politica ”same-origin” care blochează script-urile dintr-o anumită locație (domeniu și/sau protocol de browsing) să interacționeze cu cele din alta, în felul acesta site-uri similare cu Google putând să extragă datele necesare din tab-urile deschise.
Vulnerabilitatea afectează doar numele din baza de date nu și conținutul, dar e suficient pentru ca un atacator să extragă contul Google și odată cu el poza de profil și alte date relevante. Problema mai mare e legată de istoricul de browsing, un atacator putând relativ ușor să refacă lista de site-uri vizitate.
Aveți detalii mai jos:
Pentru moment Apple nu a dat niciun detaliu despre treaba asta, cu toate că FingerprintJS spune că i-a înștiințat încă din 28 noiembrie. Problema nu e nici rezolvată și nici nu avem detalii din partea Apple, cumva tipic.
Pentru moment soluția este să folosiți un Edge Chromium sau Chrome pe macOS, respectiv să blocați rularea de script-uri Java pe iOS/iPadOS, ceea ce nu e deloc confortabil, pentru că majoritatea site-urilor nu vor mai funcționa.
Cam din cauza asta nu am folosit și nici nu voi folosi Safari pe nicăieri …
via 9to5mac