האקר גילה חור אבטחה רציני בפנים ספארי, הדפדפן המקורי של אפל, שדרכו ניתן לדלוף חלק מהמידע הפרטי של חשבון Google שלך, כולל היסטוריית גלישה עדכנית.
למשתמש זה כבר התריע בפני החברה, אז אנו מקווים שעדכון דפדפן עתידי יפתור את בעיית האבטחה שזוהתה בקרוב. אנחנו נצפה לזה.
האקר התקשר טביעת אצבע JS פרסם ב שלו בלוג גילוי מטריד משהו. חור אבטחה בדפדפן אפל ספארי, שדרכו ניתן "להתגנב" מידע חשוב מה-Mac.
כשל זה מורכב משגיאה ביישום של צמוד אינדקס של Safari ב-Mac וב-iOS. זה אומר שאתר יכול לראות שמות של מסד נתונים מכל דומיין, לא רק שלו. ניתן להשתמש בשמות של מסדי נתונים כדי לחלץ מידע מזהה מטבלת חיפוש. כאן אתה יכול לראות איך באג האבטחה הזה עובד.
השירותים של Google הם מאחסנים מופע של IndexedDB עבור כל אחד מהחשבונות שלך, כששם מסד הנתונים מתאים לזיהוי המשתמש שלך ב-Google. אז באמצעות הניצול המתואר בפוסט בבלוג, אתר זדוני עלול להשיג את מזהה המשתמש שלך ב-Google ולאחר מכן להשתמש במזהה זה כדי לגלות מידע אישי אחר, שכן המזהה משמש להגשת בקשות API לשירותי Google. .
זה שולח אפים עם דפדפנים אחרים, כגון Chrome, זה לא קורה, ואתר אינטרנט יכול לראות רק את מסדי הנתונים שנוצרו עבור משתמש Google של הדומיין שלו, ולא של כל תחום אחר. מקווה שאפל תתקן את זה בקרוב.
אפל עדיין לא תיקנה את זה.
FingerprintJS אומרת שהיא כבר הודיעה לאפל על פגם האבטחה האמור בעבר נובמבר 28. מוזר שעד היום זה עדיין לא תוקן עם עדכון ספארי חדש. אבל אנחנו בטוחים שבקרוב זה יקרה.