Προσθήκη σχολίου (28 σχόλια)

Ο browser της Apple διαρρέει τα δεδομένα περιήγησης του χρήστη από τα τέλη του περασμένου Νοεμβρίου.

Ειδικοί σε θέματα ασφάλειας ανακάλυψαν μία σημαντική ευπάθεια στην πιο πρόσφατη έκδοση του Safari της Apple. Ο browser διαρρέει το ιστορικό περιήγησης και ακόμη ορισμένα προσωπικά δεδομένα του χρήστη που είναι αποθηκευμένα σε συνδεδεμένους Google λογαριασμούς.

Σύμφωνα με την εταιρεία FingerprintJS, πάροχος υπηρεσιών κυβερνοασφάλειας, το πρόβλημα αφορά το Apple API – IndexedDB, που χρησιμοποιείται για την αποθήκευση δεδομένων στο Safari 15.

Το Safari 15 έχει ένα μέτρο ασφαλείας που αποτρέπει τις κακόβουλες σελίδες, που ανοίγουν σε μια καρτέλα, να διαβάζουν τα δεδομένα που δημιουργούνται από ιστοσελίδες που ανοίγουν σε άλλη καρτέλα. Σύμφωνα με την FingerprintJS, το IndexedDB API στο Safari 15 δεν συμμορφώνεται με αυτήν την πολιτική και αντιθέτως δημιουργείται μια νέα κενή βάση δεδομένων με το ίδιο όνομα σε όλα τα ενεργά παράθυρα και καρτέλες κατά την ίδια περίοδο λειτουργίας του browser.

Οι ερευνητές εξήγησαν επίσης πως το ελάττωμα μπορεί να αξιοποιηθεί για την απόκτηση δεδομένων ενός λογαριασμού Google. Οι υπηρεσίες της Google (για παράδειγμα το YouTube) δημιουργούν βάσεις δεδομένων που περιέχουν το μοναδικό αναγνωριστικό χρήστη Google στα ονόματά τους. Καθώς αυτά τα αναγνωριστικά χρησιμοποιούνται για πρόσβαση σε δημόσιες πληροφορίες, όπως μια εικόνα προφίλ, θα μπορούσαν να το δουν κι άλλες ιστοσελίδες.

Οι ερευνητές για να δείξουν πώς μία ιστοσελίδα μπορεί να μάθει την πρόσφατη και τρέχουσα δραστηριότητα περιήγησης οποιουδήποτε χρήστη, δημιούργησαν ένα demo το οποίο βρίσκεται εδώ. Προς το παρόν, εντοπίζει 30 τοποθεσίες που επηρεάζονται, αλλά η λίστα είναι πιθανώς πολύ μεγαλύτερη.

Αυτή τη στιγμή, δεν φαίνεται να υπάρχει λύση στο πρόβλημα το οποίο επηρεάζει και τη λειτουργία Ιδιωτικής Περιήγησης στο Safari ενώ με την απαγόρευση της Apple τρίτων μηχανών browser στο iOS (third-party browser engines) επηρεάζονται κι όλοι οι υπόλοιποι browsers.

Η ευπάθεια αναφέρθηκε στο WebKit Bug Tracker στα τέλη Νοεμβρίου του περασμένου έτους, αλλά η Apple δεν έχει ακόμη διαθέσει κάποια ενημέρωση για τον browser και παραμένει σιωπηλή σχετικά με το θέμα.

Μια επιλογή που προτείνεται από τους ερευνητές, είναι να αποκλειστεί όλη η Javascript από προεπιλογή και να επιτρέπεται μόνο σε αξιόπιστες ιστοσελίδες. Ωστόσο, αυτό καθιστά τη σύγχρονη περιήγηση στο internet άβολη και πιθανότατα δεν είναι καλή λύση για όλους.

  • Confused 1
  • Sad 1