Häkker on avastanud tõsise turvaaugu safari, Apple'i omabrauser, mille kaudu võidakse lekkida osa teie Google'i konto privaatsest teabest, sealhulgas hiljutine sirvimisajalugu.
See kasutaja on juba teavitas ettevõtet, seega loodame, et tulevane brauseri värskendus lahendab tuvastatud turbeprobleemi peagi. Me jälgime seda.
Helistas häkker SõrmejälgJS on avaldanud oma blogi mõnevõrra häiriv avastus. Apple Safari brauseris turvaauk, mille kaudu saab Macist “vargsi” välja kasutajate olulise info.
See rike seisneb veas rakenduses IndekseeritudDB Safari kohta Macis ja iOS-is. See tähendab, et veebisait näeb andmebaasinimesid mis tahes domeenist, mitte ainult oma domeenist. Andmebaasinimesid saab kasutada otsingutabelist tuvastava teabe eraldamiseks. Siin näete, kuidas see turvaviga töötab.
Teenused Google nad salvestavad iga teie konto jaoks IndexedDB eksemplari, mille andmebaasi nimi vastab teie Google'i kasutaja ID-le. Seega võib pahatahtlik veebisait blogipostituses kirjeldatud ärakasutamist kasutades hankida teie Google'i kasutaja ID ja seejärel kasutada seda ID-d muu isikliku teabe väljaselgitamiseks, kuna seda ID-d kasutatakse Google'i teenustele API päringute tegemiseks.
See saadab nina, et teiste brauserite, nt Kroom, seda ei juhtu ja veebisait näeb ainult oma domeeni Google'i kasutaja jaoks loodud andmebaase, mitte ühegi teise domeeni andmebaase. Loodetavasti parandab Apple selle peagi.
Apple pole seda veel parandanud.
FingerprintJS ütleb, et ta on Apple'i sellest turvaveast juba varem teavitanud November 28. Kummaline, et tänaseni pole seda ikka veel uue Safari uuendusega parandatud. Kuid oleme kindlad, et varsti see juhtub.
