Hakkeri on havainnut vakavan tietoturva-aukon safari, Applen oma selain, jonka kautta osa Google-tilisi yksityisistä tiedoista, mukaan lukien viimeaikainen selaushistoria, voi vuotaa.
Tällä käyttäjällä on jo varoitti yhtiötä, joten toivomme, että tuleva selainpäivitys ratkaisee havaitun tietoturvaongelman pian. Me tarkkailemme sitä.
Hakkeri soitti SormenjälkiJS on julkaissut hänen blogi hieman hämmentävä löytö. Apple Safari -selaimen tietoturva-aukko, jonka kautta tärkeitä käyttäjätietoja voidaan "hiipiä" ulos Macista.
Tämä vika koostuu virheestä toteutuksessa IndeksoituDB Safari Macissa ja iOS:ssä. Tämä tarkoittaa, että verkkosivusto voi nähdä tietokantojen nimet mistä tahansa verkkotunnuksesta, ei vain omasta. Tietokannan nimiä voidaan käyttää tunnistetietojen poimimiseen hakutaulukosta. Täältä näet kuinka tämä tietoturvavirhe toimii.
Palvelut Google ne tallentavat IndexedDB-esiintymän jokaiselle tilillesi, jonka tietokannan nimi vastaa Google-käyttäjätunnustasi. Joten käyttämällä blogikirjoituksessa kuvattua hyväksikäyttöä haitallinen verkkosivusto voi saada Google-käyttäjätunnuksesi ja käyttää sitä sitten muiden henkilökohtaisten tietojen selvittämiseen, koska tunnusta käytetään API-pyyntöjen tekemiseen Googlen palveluihin.
Se lähettää nenät, jotka muilla selaimilla, kuten kromi, näin ei tapahdu, ja verkkosivusto voi nähdä vain oman verkkotunnuksensa Google-käyttäjälle luodut tietokannat, ei minkään muun verkkotunnuksen. Toivottavasti Apple korjaa sen pian.
Apple ei ole vielä korjannut sitä.
FingerprintJS sanoo, että se on jo ilmoittanut Applelle mainitusta tietoturvavirheestä aiemmin Marraskuu 28. On outoa, ettei sitä ole vieläkään tähän päivään mennessä korjattu uudella Safari-päivityksellä. Mutta olemme varmoja, että se tapahtuu pian.
