Safari’de büyük bir güvenlik açığı tespit edildi. Bir tarayıcı parmak izi ve dolandırıcılık algılama hizmeti olan FingerprintJS’in bulgularına göre, Safari 15’teki bir hata, çevrimiçi etkinliğinizi ve Google hesabınıza bağlı bazı kişisel bilgilerinizi ortaya çıkarabilir. Sorun, Apple’ın tarayıcınızda veri depolayan bir API olan IndexedDB’yi uygulamasıyla ilgili.
IndexedDB, tüm Web veritabanları gibi, aynı kaynak ilkesine bağlıdır; bu, bir kaynağın diğer kaynaklarda oluşturulan verilerle etkileşime giremeyeceği anlamına gelir. Aynı kaynak ilkesi, e-posta hesabınızı bir sekmede açar ve ardından başka bir sekmede zararlı bir siteyi ziyaret ederseniz, kötü niyetli bir sayfanın e-postanızı görüntülemesini ve e-postanızı değiştirmesini engeller.
Safari güvenlik açığı: Google hesaplarınız tehlikede olabilir
FingerprintJS’ye göre Apple’ın Safari 15’te IndexedDB API uygulaması, aynı kaynak ilkesini ihlal ediyor. Bir web sitesi Safari’deki bir veritabanıyla etkileşime girdiğinde, FingerprintJS “aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulduğunu” iddia ediyor. Bu, diğer web sitelerinin, diğer sitelerde geliştirilen ve kimliğinize özel bilgiler içerebilen diğer veritabanlarının adlarını görüntüleyebileceği anlamına geliyor.
FingerprintJS, diğerlerinin yanı sıra YouTube, Google Takvim ve Google Keep gibi Google hesabınızı kullanan web sitelerini tanımlar. Google Kullanıcı Kimliğiniz, Google’ın profil resminiz gibi herkese açık verilerinize erişmesine izin verdiğinden, Safari güvenlik açığı bu verileri diğer web sitelerine maruz bırakabilir.
This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022
Maalesef bu konuda yapabileceğiniz pek bir şey yok çünkü hata Safari’deki Özel Tarama modunu da etkiliyor. macOS’te farklı bir tarayıcı kullanabilirsiniz, ancak tüm tarayıcılar, Apple’ın iOS’ta üçüncü taraf tarayıcı motoru yasağından etkilenir. 28 Kasım’da FingerprintJS, WebKit Hata İzleyici’ye sızıntıyı bildirdi, ancak henüz Safari için bir güncelleme yapılmadı.