Safari "kļūda" ļauj nopludināt informāciju no sava Google konta

Apple un Google izveido kopīgu API, un Eiropa sāk to pieņemt

Hakeris atklājis nopietnu drošības robu safari, Apple vietējā pārlūkprogramma, caur kuru var tikt nopludināta daļa no jūsu Google konta privātās informācijas, tostarp nesenā pārlūkošanas vēsture.

Šis lietotājs jau ir brīdināja uzņēmumu, tāpēc mēs ceram, ka turpmākais pārlūkprogrammas atjauninājums drīzumā atrisinās konstatēto drošības problēmu. Mēs to uzraudzīsim.

Zvanīja hakeris Pirkstu nospiedumsJS ir publicējis savā blog nedaudz satraucošs atklājums. Drošības caurums pārlūkprogrammā Apple Safari, caur kuru no Mac var “izzagt” svarīgu lietotāja informāciju.

Šī kļūme sastāv no kļūdas ieviešanā IndeksētsDB Safari operētājsistēmās Mac un iOS. Tas nozīmē, ka vietne var redzēt datu bāzes nosaukumus no jebkura domēna, ne tikai no sava domēna. Datu bāzu nosaukumus var izmantot, lai no uzmeklēšanas tabulas iegūtu identifikācijas informāciju. Šeit varat redzēt, kā šī drošības kļūda darbojas.

Pakalpojumi google tie saglabā IndexedDB gadījumu katram jūsu kontam ar datu bāzes nosaukumu, kas atbilst jūsu Google lietotāja ID. Tādējādi, izmantojot emuāra ziņojumā aprakstīto izmantošanu, ļaunprātīga vietne var iegūt jūsu Google lietotāja ID un pēc tam izmantot šo ID, lai uzzinātu citu personisko informāciju, jo ID tiek izmantots, lai veiktu API pieprasījumus Google pakalpojumiem.

Tas sūta degunus, ka ar citām pārlūkprogrammām, piemēram, hroms, tas nenotiek, un vietne var redzēt tikai tās datu bāzes, kas izveidotas sava domēna Google lietotājam, nevis kāda cita domēna datubāzes. Cerams, ka Apple drīz to izlabos.

Apple to vēl nav izlabojis.

FingerprintJS saka, ka tas jau iepriekš ir informējis Apple par minēto drošības trūkumu Novembris 28. Dīvaini, ka līdz šai dienai tas joprojām nav labots ar jaunu Safari atjauninājumu. Bet mēs esam pārliecināti, ka drīz tas notiks.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.