Safari 15 má závažný bezpečnostní problém

V prohlížeči Safari 15 je chyba, která umožňuje dostat se k historii vašich aktivit při procházení webu, ale bohužel také odhalit některé vaše osobní údaje, které sdílíte prostřednictvím svého účtu u Google, a dokonce i vaše otisky prstů. Tato chyba v zabezpečení pramení z problému s implementací IndexedDB, což je aplikační programovací rozhraní (API), které ukládá data ve vašem prohlížeči.

Jak vysvětlila společnost FingerprintJS, která chybu objevila a nahlásila, IndexedDB obsahuje mimo jiné zabezpečovací framework, který omezuje interakci používaných dat s daty používanými „jinde“– zjednodušeně řečeno k vašim datům má mít přístup pouze ten web, který s nimi právě pracuje. Pokud například otevřete svůj e-mailový účet na jedné kartě, a pak otevřete nebezpečnou webovou stránku na jiné kartě, podle tohoto frameworku nebezpečná stránka k datům ve vašem e-mailu nemá přístup.

FingerprintJS ale zjistil, že aplikace Apple IndexedDB API v Safari 15 ve skutečnosti tento mechanismus nemá plně funkční. Když web komunikuje s databází v Safari, podle FingerprintJS se „i ve všech ostatních aktivních kartách a oknech v rámci stejné relace prohlížeče vytvoří nová (prázdná) databáze se stejným názvem.“

To ale znamená, že ostatní webové stránky mohou vidět názvy ostatních databází vytvořených na jiných stránkách, a ty mohou obsahovat informace specifické pro vaši osobu. FingerprintJS říká, že všechny stránky, které používají váš účet Google jako například YouTube, Kalendář Google a Google Keep, generují databáze s vaším jedinečným ID uživatele Google v názvu. Vaše ID uživatele Google umožňuje společnosti Google přístup k vašim veřejně dostupným informacím, což je třeba váš profilový obrázek, ale chyba v Safari ukazuje vaše informace i jiným webům.

FingerprintJS vytvořil simulaci, kterou si můžete vyzkoušet, pokud máte na svém Macu, iPhonu nebo iPadu Safari 15 (a novější): www.safarileaks.com – tato simulace ukazuje, jak chyba zneužívá zranitelnost prohlížeče k identifikaci webů, které jste otevřeli (nebo nedávno otevřeli), a ukazuje, jak mohou weby, které chybu zneužívají, získávat informace o vašem Google ID. Zatím je zde asi 30 populárních stránek, které jsou touto chybou ovlivněny, jako jsou Instagram, Netflix, Twitter, Xbox, ale pravděpodobně jich bude mnohem více.

Bohužel pro vyřešení problému nemůžete kromě použití jiného prohlížeče nic moc udělat – FingerprintJS říká, že chyba ovlivňuje i režim soukromého prohlížení v Safari. FingerprintJS nahlásil únik do WebKit Bug Tracker už 28. listopadu 2021, ale zatím k aktualizaci Safari nedošlo. Z Apple nicméně přišly zprávy, že na odstranění chyby programátoři úspěšně pracují.

Zdroj: Verge, Fingerprintjs