Safari 15'in tarama faaliyetlerinizi sızdıran ve hatta kötü aktörlerin kimliğinizi bilmesini sağlayan bir güvenlik açığına sahip olduğu bulundu. Yapılandırılmış verileri depolamak için bir uygulama programlama arayüzü (API) olarak çalışan indexedDB'nin uygulanmasında tanıtılan bir hata nedeniyle sorun ortaya çıkmıştır. MacOS'un en son sürümündeki kullanıcılar ve iOS ve IPADO'lar güvenlik açığından etkilenir. Her ne kadar MacOS kullanıcıları üçüncü taraf bir tarayıcıya geçerek etkinin üstesinden gelse de, iPhone veya iPad'li kullanıcılar şu anda böyle bir çare yoktur.
Başlangıçta 9TO5MAC tarafından bildirildiği gibi, tarayıcı parmak izi ve sahtekarlık algılama firması parmak iziPrintjs, Safari 15'i etkileyen indexedBD güvenlik açığını keşfetti. API, bir kökenden yüklenen belgeleri ve komut dosyalarını, diğer kökenlerden kaynaklarla etkileşime girmediği anlamına gelen aynı menşe politikasını takip etti. . Bu, bir web tarayıcısının oturumunuzu, diğer sekmesinden eriştiğiniz web sitesinden bir sekmede güvence altına almasına yardımcı olur.
Bununla birlikte, FingerPrintJ'lerdeki araştırmacılar, Apple'ın indexedDB'nin uygulanmasının politikayı ihlal ettiğini buldu. Bu, bir saldırganın, tarama faaliyetinize veya Google hesabınıza ekli kimliğinize erişim kazanmak için bir saldırganın istifa edebileceği için sonuçlanır.
Araştırmacılar, "Bir web sitesi bir veritabanıyla bir veritabanıyla etkileşime girdiğinde, aynı adı taşıyan, aynı adı taşıyan yeni (boş) bir veritabanı, aynı tarayıcı oturumunda," aynı tarayıcı oturumunda, "dedi.
Kusur, bilgisayar korsanlarının farklı sekmelere veya pencerelerde hangi web sitelerini ziyaret ettiğinizi öğrenmelerini sağlar. Ayrıca Google kullanıcı kimliğinizi Google hesabınızla oturum açtığınız kişilerden başka web sitelerine maruz bırakır. Google kullanıcı kimliği, web sitelerinin profil resminiz dahil kişisel tanımlayıcılarınıza erişmesini sağlar. Sonunda, bilgisayar korsanları, safari güvenlik açığını sökerek bu tanımlayıcılara bakabilirler.
ParmakPrintJ'ler, kullanıcıların tarama etkinliğine ve kişisel tanımlayıcılara erişimi etkileşim kurabilecek ve erişebilecek web sitelerinin önemli olabileceğini iddia ediyor. Kusuru göstermek için, araştırmacılar tarafından bir kavram kanıtı da halka açıklanmıştır.
Güvenlik açığına bakmak için Mac, iPhone'unuzdaki veya iPad'inizdeki demoyu kullanabilirsiniz. Şu anda Alibaba, instagram, Twitter ve Xbox, bir sitedeki veritabanının başkalarına nasıl sızdırılabileceğini öne sürmek için popüler siteleri algılar. Ancak, konu bunlarla sınırlı değildir ve diğer siteleri ziyaret eden kullanıcıları da etkileyebilir.
Safari 15'te özel moda geçiş yapan kullanıcılar, tarayıcındaki özel tarama oturumları tek bir sekme ile sınırlandırılmış olarak sızıntı yoluyla mevcut bilgilerin kapsamını azaltabilir. Yine de, birden fazla web sitesini aynı sekmeyle birden sonra birden fazla web sitesini ziyaret ederseniz, verilerinizi sızdıracaksınız.
Mac kullanıcıları, güvenlik boşluğunu çözmek için Google Chrome veya Mozilla Firefox gibi bir üçüncü taraf tarayıcısına geçebilirler.
Bununla birlikte, iOS'ta, sorun da sadece Safari ile sınırlı değildir ve krom veya başka bir üçüncü taraf tarayıcıya taşınarak üstesinden gelinemez. Bunun nedeni, Apple, iOS web tarayıcılarının iPhone ve iPad'de üçüncü taraf bir tarayıcı motorunu kullanmasına izin vermez.
Kullanıcılar, zaman için tarayıcıları üzerinde JavaScript'i devre dışı bırakarak veri sızıntısını sınırlayabilir. Ancak bu, günümüzde çoğu site tarafından yapılan deneyimlerini etkileyecektir, modern tarama sağlamak için JavaScript kullanır.
ParmakPrintjs, konuyu 28 Kasım'da WebKit Bug Tracker'a bildirdi. Kusur hala var.
Gadgets 360, kırılganlık hakkında bir yorum için Apple'a ve bir düzeltme üzerinde çalışıp çalışmadığını. Bu makale, şirket cevap verdiğinde güncellenecektir.
Safari'yi etkileyen güvenlik açıkları yeni bir şey değil. Geçen yıl, Apple, önceki bir güncelleme tarafından tanıtılan güvenlik sorunlarını ve hataları düzeltmek için tarayıcısını yeniden yayınlamamıştı. Aralık ayında serbest bırakılan en son safari inşaatı (versiyon 15.2), önceki sürümlerde var olan ve saldırganların kötü niyetli bir şekilde kullanıcı veri erişimi kazanmasına izin verebilecek altı bilinen webkit güvenlik sorunu çözüldü.
Kaynak: Gadgets 360