Seorang penggodam telah menemui lubang keselamatan yang serius Safari, penyemak imbas asli Apple, yang melaluinya beberapa maklumat peribadi akaun Google anda boleh dibocorkan, termasuk sejarah penyemakan imbas terkini.
Pengguna ini telah pun memaklumkan syarikat itu, jadi kami berharap kemas kini penyemak imbas akan datang akan menyelesaikan masalah keselamatan yang dikesan tidak lama lagi. Kami akan memerhatikannya.
Seorang penggodam memanggil Cap jariJS telah menerbitkan dalam bukunya blog penemuan yang agak membimbangkan. Lubang keselamatan dalam penyemak imbas Apple Safari, yang melaluinya maklumat pengguna penting boleh "diselap" keluar dari Mac.
Kegagalan ini terdiri daripada ralat dalam pelaksanaan DiindeksDB Safari pada Mac dan iOS. Ini bermakna tapak web boleh melihat nama pangkalan data daripada mana-mana domain, bukan hanya miliknya. Nama pangkalan data boleh digunakan untuk mengekstrak maklumat mengenal pasti daripada jadual carian. Di sini anda boleh melihat cara pepijat keselamatan ini berfungsi.
Perkhidmatan dari Google mereka menyimpan contoh IndexedDB untuk setiap akaun anda, dengan nama pangkalan data sepadan dengan ID pengguna Google anda. Oleh itu, menggunakan eksploitasi yang diterangkan dalam catatan blog, tapak web berniat jahat boleh mendapatkan ID pengguna Google anda dan kemudian menggunakan ID tersebut untuk mengetahui maklumat peribadi lain, memandangkan ID tersebut digunakan untuk membuat permintaan API kepada perkhidmatan Google. .
Ia menghantar hidung itu dengan pelayar lain, seperti Chrome, ini tidak berlaku dan tapak web hanya boleh melihat pangkalan data yang dibuat untuk pengguna Google domainnya sendiri, dan bukan pangkalan data yang lain. Semoga Apple membetulkannya tidak lama lagi.
Apple belum membetulkannya lagi.
FingerprintJS mengatakan bahawa ia telah memaklumkan Apple tentang kecacatan keselamatan tersebut pada masa lalu November 28. Anehnya sehingga hari ini ia masih belum dibaiki dengan kemas kini Safari baharu. Tetapi kami pasti ia akan berlaku tidak lama lagi.