Įsilaužėlis aptiko rimtą saugumo spragą "Safari", savoji „Apple“ naršyklė, per kurią gali būti nutekinta dalis privačios informacijos iš „Google“ paskyros, įskaitant naujausią naršymo istoriją.
Šis vartotojas jau turi įspėjo įmonę, todėl tikimės, kad būsimas naršyklės naujinys greitai išspręs aptiktą saugos problemą. Mes to lauksime.
Paskambino hakeris Pirštų atspaudaiJS paskelbė savo Dienoraštis šiek tiek nerimą keliantis atradimas. „Apple Safari“ naršyklės saugumo skylė, per kurią iš „Mac“ galima „išlįsti“ svarbi vartotojo informacija.
Šią gedimą sudaro diegimo klaida IndeksuotaDB iš „Safari“ sistemoje „Mac“ ir „iOS“. Tai reiškia, kad svetainė gali matyti bet kurio domeno, ne tik savo, duomenų bazės pavadinimus. Duomenų bazių pavadinimai gali būti naudojami identifikavimo informacijai iš paieškos lentelės išgauti. Čia galite pamatyti, kaip veikia ši saugos klaida.
Paslaugos "Google" Jie saugo IndexedDB egzempliorių kiekvienai jūsų paskyrai, o duomenų bazės pavadinimas atitinka jūsų „Google“ vartotojo ID. Taigi, naudojant tinklaraščio įraše aprašytą išnaudojimą, kenkėjiška svetainė gali gauti jūsų „Google“ vartotojo ID ir naudoti tą ID kitai asmeninei informacijai sužinoti, nes ID naudojamas teikiant API užklausas „Google“ paslaugoms.
Tai blogiau nei su kitomis naršyklėmis, pvz chromas, tai neįvyksta, o svetainė gali matyti tik savo domeno, o ne bet kurio kito domeno „Google“ vartotojui sukurtas duomenų bazes. Tikėkimės, kad Apple greitai ją ištaisys.
Apple to dar nepataisė
„FingerprintJS“ teigia, kad jau anksčiau informavo „Apple“ apie saugos trūkumą Lapkritis 28. Keista, kad šiandien ji dar nebuvo išspręsta nauju Safari atnaujinimu. Tačiau esame tikri, kad netrukus tai padarys.
