Utnyttja i Safari ger åtkomst till Google-kontoinformation och webbhistorik

67 1 minute read
Safari pourrait bientôt proposer un mode sombre à la demande
Safari MacBook Pro © © Nathan Le Gohlisse för Clubic

Ett stort säkerhetsbrist upptäckt i Safariden Navigatör från Apple, kan tillåta tredje part att se din senaste webbhistorik. Det låter dig också ge åtkomst till viss information om ditt Google-konto.

Oavsett om det är på din Mac, iPhone eller iPad är Safari sårbart för ett oroande säkerhetsbrist. Ej korrigerad av Apple för närvarande, det är ett resultat av en bugg som upptäckts i implementeringen av API:et Indexed Database (IndexedDB) på Safari. Denna bugg gör att en webbplats kan se databasnamnen för alla domäner, inte bara sin egen, sammanfattningar 9to5Macsom anger att dessa namn sedan kan användas för att extrahera mer eller mindre känslig information.

Safari i svårigheter…

Den extraherade informationen kan verkligen berätta för tredje part om en del av din senaste webbhistorik och kan även äventyra, i viss mån, ditt Google-konto. Googles tjänster lagrar verkligen en IndexedDB-instans för vart och ett av dina anslutna konton. Genom att utnyttja denna brist kan en skadlig webbplats återställa ditt Google-ID och använda det för att få annan personlig information om dig.


I en demo som delas på FingerprintJS-bloggen visar säkerhetsforskarna bakom upptäckten att det är möjligt att utnyttja det Google-ID som erhållits genom denna brist för att avanonymisera målanvändaren, till exempel genom att lägga handen på hans profilbild. En enkel IndexedDB-instans bör normalt inte tillåta detta.

Alla webbläsarversioner påverkas

I syfte att demonstrera testade forskarna felet med ett trettiotal olika domännamn, men det är troligt att denna bugg kan äventyra många andra. 9to5Mac påpekar att alla webbplatser som använder IndexedDB API är potentiellt sårbara för denna typ av datahämtning om användaren går igenom Safari, oavsett webbläsarversion eller enhet som används.

Detta fel rapporterades till Apple den 28 november av FingerprintJS-forskare, men har ännu inte åtgärdats. Lösningen, på papperet, verkar dock enkel: det skulle räcka att Safari, precis som Google Chrome (bland annat), bara tillåter webbplatser att se de databaser som skapats av deras eget domännamn.

Källa: 9to5Mac

Tags
67 1 minute read

Relaterade Artiklar

ms-edge-surf-game

Hur man spelar det nya surfspelet i Microsoft Edge

Xiaomi 12 Pro test embargo © © Pierre Crochart pour Clubic

Varför vill Xiaomi inte längre ha APK-filer på sina Android-smarttelefoner?

porsche panamera 4S E Hybrid © Camille Pinet

Porsche förbereder en elektrisk Panamera

Facebook notifications not working on Chrome

Facebook-aviseringar fungerar inte på Chrome

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button