Հաքերն անվտանգության լուրջ անցք է հայտնաբերել Safari, Apple-ի բնիկ բրաուզերը, որի միջոցով կարող են արտահոսել ձեր Google հաշվի որոշ մասնավոր տեղեկություններ, ներառյալ վերջին զննարկման պատմությունը:
Այս օգտվողն արդեն ունի ահազանգել է ընկերությանը, ուստի հուսով ենք, որ բրաուզերի ապագա թարմացումը շուտով կլուծի հայտնաբերված անվտանգության խնդիրը: Մենք կհետևենք դրան:
Հակեր է զանգահարել ՄատնահետքJS հրապարակել է իր Օրագիր մի փոքր անհանգստացնող բացահայտում. Անվտանգության անցք Apple Safari բրաուզերում, որի միջոցով կարելի է «գաղտնալսել» օգտատիրոջ կարևոր տեղեկությունները Mac-ից:
Այս ձախողումը բաղկացած է սխալի իրականացման մեջ Ինդեքսավորված ԴԲ Safari-ի Mac-ի և iOS-ի վրա: Դա նշանակում է, որ կայքը կարող է տեսնել տվյալների բազայի անունները ցանկացած տիրույթից, ոչ միայն իր սեփականից: Տվյալների բազայի անունները կարող են օգտագործվել որոնման աղյուսակից նույնականացման տեղեկատվություն հանելու համար: Այստեղ դուք կարող եք տեսնել, թե ինչպես է աշխատում այս անվտանգության սխալը:
Ծառայությունները Google նրանք պահում են IndexedDB-ի օրինակ ձեր յուրաքանչյուր հաշվի համար՝ ձեր Google օգտատիրոջ ID-ին համապատասխանող տվյալների բազայի անվանումով: Այսպիսով, օգտագործելով բլոգի գրառման մեջ նկարագրված շահագործումը, վնասակար վեբ կայքը կարող է ստանալ ձեր Google օգտատիրոջ ID-ն, այնուհետև օգտագործել այդ ID-ն՝ այլ անձնական տեղեկություններ պարզելու համար, քանի որ ID-ն օգտագործվում է Google-ի ծառայություններին API հարցումներ կատարելու համար:
Այն ուղարկում է քիթ, որ այլ բրաուզերների հետ, ինչպիսիք են քրոմ, դա տեղի չի ունենում, և վեբկայքը կարող է տեսնել միայն իր սեփական տիրույթի Google օգտատիրոջ համար ստեղծված տվյալների բազաները, և ոչ թե որևէ այլ տիրույթի: Հուսով ենք, որ Apple-ը շուտով կշտկի այն:
Apple-ը դեռ չի ուղղել այն:
FingerprintJS-ն ասում է, որ նախկինում արդեն տեղեկացրել է Apple-ին անվտանգության նշված թերության մասին Նոյեմբեր 28. Տարօրինակ է, որ մինչ օրս այն դեռ չի շտկվել Safari-ի նոր թարմացմամբ: Բայց մենք վստահ ենք, որ շուտով դա կլինի։
Եղիր առաջին մեկնաբանողը