En fejl i Safari 15 kan lække din browseraktivitet og kan også afsløre nogle af de personlige oplysninger, der er knyttet til din Google-konto, ifølge resultater fra FingerprintJS, en browserens fingeraftryks- og svindeldetektionstjeneste (via 9to5Mac ). Sårbarheden stammer fra et problem med Apples implementering af IndexedDB, en applikationsprogrammeringsgrænseflade (API), der gemmer data i din browser.
Som forklaret af FingerprintJS overholder IndexedDB politikken for samme oprindelse, som begrænser én oprindelse i at interagere med data, der blev indsamlet fra andre oprindelser – i det væsentlige er det kun webstedet, der genererer data, der kan få adgang til det. For eksempel, hvis du åbner din e-mail-konto på én fane og derefter åbner en ondsindet webside på en anden, forhindrer samme oprindelsespolitik den ondsindede side i at se og blande sig med din e-mail.
Der er ikke meget, du kan gøre for at få omkring problemet
FingerprintJS fandt ud af, at Apples anvendelse af IndexedDB API i Safari 15 faktisk overtræder samme oprindelsespolitik. Når et websted interagerer med en database i Safari, siger FingerprintJS, at “en ny (tom) database med samme navn oprettes i alle andre aktive rammer, faner og vinduer inden for samme browsersession.”
Dette betyder, at andre websteder kan se navnet på andre databaser, der er oprettet på andre websteder, og som kan indeholde detaljer, der er specifikke for din identitet. FingerprintJS bemærker, at websteder, der bruger din Google-konto, såsom YouTube, Google Kalender og Google Keep, alle genererer databaser med dit unikke Google-bruger-id i navnet. Dit Google-bruger-id giver Google adgang til dine offentligt tilgængelige oplysninger, såsom dit profilbillede, som Safari-fejlen kan afsløre for andre websteder.
Dette er en kæmpe fejl. På OSX kan Safari-brugere (midlertidigt) skifte til en anden browser for at undgå, at deres data lækker på tværs af oprindelser. iOS-brugere har ikke noget sådant valg, fordi Apple pålægger andre browsermotorer et forbud. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16. januar 2022
FingerprintJS lavede en proof-of-concept-demo, som du kan prøve, hvis du har Safari 15 og nyere på din Mac, iPhone eller iPad. Demoen bruger browserens IndexedDB-sårbarhed til at identificere de websteder, du har åbnet (eller åbnet for nylig), og viser, hvordan fejlen skraber oplysninger fra dit Google-bruger-id. Det registrerer i øjeblikket kun 30 populære websteder, der er berørt af fejlen, såsom Instagram, Netflix, Twitter, Xbox, men det påvirker sandsynligvis langt flere.
Desværre er der ikke meget du kan gøre for at omgå problemet, da FingerprintJS siger, at fejlen også påvirker privat browsing-tilstand på Safari. Du kan bruge en anden browser på macOS, men Apples tredjeparts browsermotorforbud på iOS betyder, at alle browsere er berørt. FingerprintJS rapporterede lækagen til WebKit Bug Tracker den 28. november, men der har ikke været en opdatering til Safari endnu. The Verge kontaktede Apple med en anmodning om kommentar, men hørte ikke straks tilbage.