Ashwin 18. januar 2022 Nettlesere | 0
For en uke siden diskuterte vi Powerdir, en sårbarhet i macOS som kan ha blitt brukt av hackere for å få tilgang til brukerens data. Problemet, som ble oppdaget av Microsofts ingeniører, ble løst av Apple i en oppdatering som ble sendt i fjor. I dag har det dukket opp nyheter om en Safari-feil, som kan lekke nettleserloggen din og informasjon relatert til Google-kontoen din.
Safari-feil kan lekke nettleserloggen din
Apples nettleser, som er standard på macOS, iOS og iPadOS, har et sikkerhetsproblem knyttet til IndexedDB. Dette er et API som brukes av nettsteder til å lagre data på enheten, og bruker samme opprinnelsespolicy. Det begrenser andre nettsteder, dokumenter, skript fra å få tilgang til data som tilhører et bestemt nettsted. Det er på en måte som en sandkasse for dataene som er opprettet av et nettsted.
IndexedDB, eller Indexed-databaser, er knyttet til en bestemt opprinnelse, f.eks. Google-kontoen din er knyttet til sin egen database. Så teoretisk sett burde ikke andre nettsteder ha tilgang til informasjonen som er lagret i databasen, men FingerprintJS har oppdaget at det eksisterer en utnyttelse i Safari 15, som kan avsløre dataene til andre nettsteder.
ANNONSE
Hvordan er det mulig? Når et nettsted får tilgang til en database, lagres resten av dataene fra andre faner, vinduer og rammer i gjeldende økt i en ny database. Problemet her er at den nyopprettede databasen deler samme navn som den opprinnelige, som et resultat av at databasenavnene lekkes på tvers av forskjellige opphav (nettsteder).
Dette vil igjen tillate nettsteder å identifisere brukere ved deres unike ID. Det som er verre her er at nettsidene lagrer den autentiserte Google-bruker-ID-en i disse databasene. I tilfelle noen har logget på flere kontoer, har hver av dem sin egen database. Bruker-IDen brukes av Google til å identifisere brukeren via People API, for å hente offentlig tilgjengelig personlig informasjon fra kontoen, for eksempel profilbildet. Så et ondsinnet nettsted kan få denne informasjonen, bare fordi en fane eller et vindu som er aktivt i bakgrunnen kan få tilgang til IndexedDB API. Når du besøker andre nettsteder, lagres disse dataene også i databasen, noe som betyr at nettleserloggen din også er eksponert for tredjeparter.
Her er en offisiell video fra benchmark-tjenesten for fingeravtrykk, som illustrerer hvordan sårbarheten fungerer. . Nettstedet har en proof-of-concept-demoside som du kan åpne fra macOS-, iOS- eller iPadOS-enheten din for å teste om nettleseren din er påvirket av IndexedDB-feilen. Demosiden oppdager mange, inkludert Alibaba, Google, Dropbox, Twitter, VK, WhatsApp, Xbox, for å nevne noen, men mange andre nettsteder kan bli målrettet av utnyttelsen.
Jeg prøvde å få tilgang til siden på min gamle iPad, og Safari 14 ser ikke ut til å være påvirket av feilen. Men da vennen min besøkte demosiden på sin iPhone med Safari 15, sa siden at nettleseren hans er sårbar for utnyttelsen, og avslørte hans unike Google ID-nummer som bevis på det.
ANNONSE
Artikkelen først oppdaget av 9to5Mac, sier at Apple ennå ikke har rettet denne Safari-feilen, selv om FingerprintJS hadde rapportert den til Cupertino-selskapet 28. november.
ANNONSE.