Prawidłowe zabezpieczenie API jest niezwykle ważne. W sierpniu 2021 r. domyślna konfiguracja portali Microsoft Power Apps spowodowała wyciek 38 milionów rekordów z powodu publicznego interfejsu API zawierającego poufne informacje. Teraz analitycy bezpieczeństwa odkryli podobny błąd w interfejsie API Safari 15, który może ujawnić Twoje dane osobowe.
Badacze bezpieczeństwa z FingerprintJS odkryli problem w implementacji API IndexedDB, które musi działać zgodnie z mechanizmem bezpieczeństwa tego samego pochodzenia, w którym indeksowane bazy danych, skrypty i dokumenty jednego pochodzenia nie mogą wchodzić w interakcje z obiektami innego pochodzenia.
IndexedDB narusza jednak te zasady. Badacze zauważyli, że za każdym razem, gdy witryna kontaktuje się z bazą danych, Safari 15 na macOS i wszystkie wersje przeglądarki na iOS i iPadOS 15 tworzą nową i pustą, ale wspólną bazę danych we wszystkich aktywnych kartach, ramkach i oknach w przeglądarce. tę samą sesję przeglądarki. Co gorsza, ta zduplikowana baza danych z różnych źródeł jest tworzona z taką samą nazwą jak oryginał, co oznacza, że autorowi złośliwej witryny łatwiej jest określić prywatność danych, do których uzyskujesz dostęp.
Analitycy bezpieczeństwa zauważyli, że niektóre witryny, takie jak YouTube, Kalendarz Google i Google Keep, tworzą bazy danych na podstawie identyfikatorów, takich jak identyfikator użytkownika Google, które mogą być następnie wykorzystywane do śledzenia i łączenia heterogenicznych danych należących do osób fizycznych. W poście na blogu wspomniano, że:
Należy pamiętać, że te wycieki nie wymagają żadnych szczególnych działań użytkownika. Działająca w tle karta lub okno, które nieustannie odpytuje API IndexedDB o dostępne bazy danych, może w czasie rzeczywistym dowiedzieć się, jakie inne witryny odwiedza użytkownik. Ponadto strony internetowe mogą otwierać dowolną stronę internetową w ramce iframe lub wyskakującym okienku, aby spowodować wyciek indeksowanej bazy danych dla tej konkretnej witryny.
Zasadniczo zagrożona jest każda witryna internetowa korzystająca z IndexedDB, co oznacza również, że zagrożona jest prywatność użytkowników tych witryn. Co gorsza, nawet osoby korzystające z Safari w trybie prywatnym nie są bezpieczne, chociaż fakt, że tryb prywatny jest ograniczony do jednej zakładki, zmniejsza ryzyko wycieku danych. Jeśli jednak odwiedzisz wiele witryn na tej samej karcie, Twoje dane znajdą się we wszystkich tych witrynach.
Firma FingerprintJS zgłosiła ten problem firmie Apple 28 listopada 2021 r., ale przeglądarka Safari nie otrzymała jeszcze aktualizacji dotyczącej tego błędu. Badacze opublikowali również publicznie kod sprawdzający koncepcję i demonstrację błędu, co oznacza również, że istnieje większa szansa, że atakujący wykorzystają exploita i że Apple musi jak najszybciej wydać poprawkę.
W tej chwili jedynym sposobem ochrony przed wyciekiem danych i śledzeniem jest domyślne blokowanie całego JavaScriptu, ale prawdopodobnie utrudni to surfowanie po sieci. Osoby korzystające z systemu macOS mogą również tymczasowo przełączyć się na inną przeglądarkę, ale to obejście niestety nie zadziała w przypadku użytkowników iOS, ponieważ wszystkie przeglądarki w mobilnym systemie operacyjnym Apple są oparte na WebKit, co oznacza, że również ich dotyczy.
Dodaj komentarz