해커가 심각한 보안 허점을 발견했습니다. Safari, 최근 검색 기록을 포함하여 Google 계정의 일부 개인 정보가 유출될 수 있는 Apple의 기본 브라우저.
이 사용자는 이미 회사에 경고했다, 따라서 향후 브라우저 업데이트에서 감지된 보안 문제가 곧 해결되기를 바랍니다. 우리는 그것을 지켜볼 것입니다.
해커가 지문 JS 그의 출판 블로그 다소 충격적인 발견. Apple Safari 브라우저의 보안 허점으로 인해 중요한 사용자 정보가 Mac에서 "유출"될 수 있습니다.
이 실패는 구현 오류로 구성됩니다. indexeddb Mac 및 iOS의 Safari. 즉, 웹 사이트는 자체 도메인뿐만 아니라 모든 도메인의 데이터베이스 이름을 볼 수 있습니다. 데이터베이스 이름은 조회 테이블에서 식별 정보를 추출하는 데 사용할 수 있습니다. 여기에서 이 보안 버그가 작동하는 방식을 볼 수 있습니다.
의 서비스 구글 각 계정에 대한 IndexedDB 인스턴스를 Google 사용자 ID에 해당하는 데이터베이스 이름으로 저장합니다. 따라서 블로그 게시물에 설명된 익스플로잇을 사용하면 악성 웹사이트가 귀하의 Google 사용자 ID를 얻은 다음 해당 ID를 사용하여 다른 개인 정보를 찾을 수 있습니다. ID는 Google 서비스에 대한 API 요청에 사용되기 때문입니다. .
그것은 다음과 같은 다른 브라우저와 함께 코를 보냅니다. 크롬, 이것은 발생하지 않으며 웹 사이트는 다른 도메인이 아닌 자체 도메인의 Google 사용자를 위해 생성된 데이터베이스만 볼 수 있습니다. 애플이 빨리 해결해주기를 바랍니다.
애플은 아직 수정하지 않았습니다.
FingerprintJS는 과거에 해당 보안 결함에 대해 이미 Apple에 알렸다고 밝혔습니다. 11월 28. 오늘날까지 새로운 Safari 업데이트로 해결되지 않은 것이 이상합니다. 그러나 우리는 곧 그렇게 될 것이라고 확신합니다.
