De bug in Safari kan browse-activiteit en gebruikersidentiteit lekken, zegt het rapport

Een Safari 15-browserbug stelt elke website in staat om de online activiteit van een gebruiker te volgen en mogelijk hun identiteit te onthullen, aldus onderzoekers van FingerprintJS.

“Helaas,” Het bedrijf zei in een bericht:Er is niet veel dat Safari-, iPadOS- en iOS-gebruikers kunnen doen om zichzelf te beschermen zonder drastische maatregelen te nemen. Een optie zou kunnen zijn om alle JavaScript standaard te blokkeren en het alleen toe te staan ​​op vertrouwde sites. Dit maakt modern surfen op het web onhandig en is misschien niet goed. oplossing voor iedereen.

Bovendien maken kwetsbaarheden zoals cross-site scripting het mogelijk om ook via vertrouwde sites te targeten, hoewel het risico veel lager is. Een ander alternatief voor Safari-gebruikers op Macs is om tijdelijk over te schakelen naar een andere browser.

Dit is echter geen optie in iOS en iPadOS omdat alle browsers worden beïnvloed, dus gebruikers op deze platforms moeten wachten tot Apple een oplossing uitbrengt.

Volgens het rapport wordt ook de privémodus van Safari 15 getroffen door het lek. Terwijl browsesessies in de privévensters van Safari beperkt zijn tot een enkel tabblad, waardoor de hoeveelheid informatie die via een lek beschikbaar is, wordt verminderd, als een gebruiker verschillende websites onder hetzelfde tabblad bezoekt, worden alle databases waarmee die sites communiceren naar alle later gelekt. bezochte websites.

Het probleem zit hem in de IndexedDB API waarmee elke website gebruikersactiviteit op internet kan volgen. Het rapport merkt op dat IndexedDB een browser-API voor opslag aan de clientzijde is die is ontworpen om grote hoeveelheden gegevens te bewaren. Het wordt ondersteund in alle belangrijke en populaire browsers. Omdat IndexedDB een low-level API is, kiezen veel ontwikkelaars ervoor om wrappers te gebruiken die de meeste technische aspecten wegnemen en een gebruiksvriendelijkere en meer ontwikkelaarsvriendelijke API bieden.

Geïndexeerde sequenties DB hetzelfde oorsprongsbeleid, Een basisbeveiligingsmechanisme dat de interactie van documenten of scripts die vanuit de ene bron zijn geladen, met bronnen van andere activa beperkt. De oorsprong wordt bepaald door het systeem (protocol), de hostnaam (domein) en de poort van de URL die wordt gebruikt om toegang te krijgen. Het rapport zegt dat de geïndexeerde databases zijn gekoppeld aan een specifiek activum. Documenten of scripts die aan verschillende activa zijn gekoppeld, mogen nooit de mogelijkheid hebben om te communiceren met databases die aan andere activa zijn gekoppeld.

De onderzoekers zeggen echter dat in Safari 15 op macOS en in alle browsers op iOS en iPadOS 15 de IndexedDB API hetzelfde bronbeleid schendt. Elke keer dat een website interactie heeft met een database, wordt er een nieuwe (lege) database met dezelfde naam aangemaakt in alle andere actieve vensters, tabbladen en vensters in dezelfde browsersessie. Windows en tabbladen delen meestal dezelfde sessie, tenzij je bijvoorbeeld overschakelt naar een ander profiel in Chrome of een privévenster opent.

“Het feit dat databasenamen uit verschillende bronnen lekken, is een duidelijke inbreuk op de privacy”, zeggen de onderzoekers. “Het laat willekeurige websites weten welke websites de gebruiker bezoekt in verschillende tabbladen of vensters. Dit is mogelijk omdat databasenamen meestal uniek en specifiek zijn voor de website. Bovendien hebben we gemerkt dat websites in sommige gevallen unieke gebruikersspecifieke identifiers gebruiken in de database namen.Dit betekent dat geverifieerde gebruikers uniek en nauwkeurig kunnen worden geïdentificeerd.

“Dit betekent dat geverifieerde gebruikers uniek en nauwkeurig kunnen worden geïdentificeerd. Veelvoorkomende voorbeelden zijn YouTube, Google Agenda of Google Keep. Al deze websites creëren databases die de geverifieerde Google-gebruikers-ID bevatten en als de gebruiker is aangemeld bij meerdere accounts, worden databases gemaakt voor al deze rekeningen.