„Błąd” w Safari umożliwia wyciek informacji z Twojego konta Google

Apple i Google tworzą wspólne API, a Europa zaczyna go przyjmować

Haker odkrył poważną lukę w zabezpieczeniach w Safari, natywna przeglądarka firmy Apple, przez którą mogą wyciekać niektóre prywatne informacje z Twojego konta Google, w tym niedawna historia przeglądania.

Ten użytkownik już zaalarmował firmę, więc mamy nadzieję, że przyszła aktualizacja przeglądarki wkrótce rozwiąże wykryty problem bezpieczeństwa. Będziemy tego wypatrywać.

Dzwonił haker Odcisk palcaJS opublikował w swoim blog nieco niepokojące odkrycie. Dziura w zabezpieczeniach przeglądarki Apple Safari, przez którą można „wykraść” ważne informacje użytkownika z komputera Mac.

Ta awaria polega na błędzie w implementacji Indeksowana baza danych Safari na Macu i iOS. Oznacza to, że witryna internetowa może zobaczyć nazwy baz danych z dowolnej domeny, nie tylko z własnej. Nazwy baz danych mogą służyć do wyodrębniania informacji identyfikujących z tabeli przeglądowej. Tutaj możesz zobaczyć, jak działa ten błąd bezpieczeństwa.

Usługi Google przechowują instancję IndexedDB dla każdego konta, z nazwą bazy danych odpowiadającą Twojemu identyfikatorowi użytkownika Google. Używając exploita opisanego w poście na blogu, złośliwa witryna może uzyskać Twój identyfikator użytkownika Google, a następnie użyć go do znalezienia innych danych osobowych, ponieważ identyfikator ten jest używany do wysyłania żądań API do usług Google.

Wysyła nosy, które z innymi przeglądarkami, takimi jak Chrom, tak się nie dzieje, a strona internetowa widzi tylko bazy danych utworzone dla użytkownika Google z własnej domeny, a nie z żadnej innej. Mam nadzieję, że Apple wkrótce to naprawi.

Apple jeszcze tego nie naprawił.

FingerprintJS twierdzi, że już w przeszłości poinformował Apple o wspomnianej luce bezpieczeństwa Listopad 28. Dziwne, że do dziś nie zostało to naprawione nową aktualizacją Safari. Ale jesteśmy pewni, że wkrótce to nastąpi.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

logiczne (prawda)