Hacker v ňom objavil vážnu bezpečnostnú dieru safari, natívny prehliadač spoločnosti Apple, cez ktorý môžu uniknúť niektoré súkromné informácie vášho účtu Google vrátane nedávnej histórie prehliadania.
Tento používateľ už urobil upozornila spoločnosť, takže dúfame, že budúca aktualizácia prehliadača čoskoro vyrieši zistený bezpečnostný problém. Budeme to sledovať.
Ozval sa hacker Odtlačok prstaJS zverejnil vo svojom blog trochu znepokojivý objav. Bezpečnostná diera v prehliadači Apple Safari, cez ktorú sa dajú z Macu „vykradnúť“ dôležité informácie o používateľovi.
Toto zlyhanie spočíva v chybe pri implementácii IndexovanéDB Safari na Mac a iOS. To znamená, že web môže vidieť názvy databáz z ľubovoľnej domény, nielen z vlastnej. Názvy databáz možno použiť na extrahovanie identifikačných informácií z vyhľadávacej tabuľky. Tu môžete vidieť, ako táto bezpečnostná chyba funguje.
Služby spoločnosti Google ukladajú inštanciu IndexedDB pre každý z vašich účtov, pričom názov databázy zodpovedá vášmu ID používateľa Google. Takže pomocou zneužitia opísaného v blogovom príspevku by mohla škodlivá webová stránka získať vaše ID používateľa Google a potom toto ID použiť na zistenie ďalších osobných informácií, pretože ID sa používa na odosielanie žiadostí API do služieb Google.
Posiela nosy, ktoré s inými prehliadačmi, ako napr chróm, to sa nestane a webová lokalita môže vidieť iba databázy vytvorené pre používateľa Google vo svojej vlastnej doméne a nie v databáze žiadnej inej. Dúfajme, že to Apple čoskoro opraví.
Apple to zatiaľ neopravil.
FingerprintJS tvrdí, že už v minulosti informoval Apple o uvedenej bezpečnostnej chybe Novembra 28. Je zvláštne, že do dnešného dňa to stále nebolo opravené novou aktualizáciou Safari. Sme si však istí, že to bude čoskoro.
