A 9to5Mac szerint a FingerprintJS nyilvánosságra hozott egy olyan sérülékenységet, amely lehetővé teszi a támadók számára, hogy megszerezzék a Safari 15-ben tárolt böngészőelőzményeket, sőt, még néhány Google-fiókadatot is. A probléma az Apple iOS-rendszerein futó más, Webkit-alapú böngészőknél is gondot jelentkezhet – írja az Engadget.
A probléma fő forrása az IndexedDB keretrendszer (amelyet számos böngészőben adatok tárolására használnak), mivel ez megsérti az „azonos eredetű” irányelvet, amely megakadályozza, hogy az egyik helyről (például egy tartományból vagy protokollból) származó dokumentumok és szkriptek kölcsönhatásba lépjenek egy másik helyről származó tartalommal, így a megfelelően kódolt weboldalak a bejelentkezett felhasználók Google-információit, valamint a nyitott fülek és ablakok előzményeit is levonhatják.
Kapcsolódó
A hiba csak az adatbázisok neveit veszélyezteti, magát a tartalmat nem, de ez is bőven elég lehet ahhoz, hogy egy rosszindulatú webhely tulajdonosa megszerezze a Google-fiók felhasználónevét, a profilképet, és más módon többet tudjon meg a felhasználóról. Az előzményeket arra is fel lehetne használni, hogy összeállítsák a felhasználók által kedvelt oldalak kezdetleges profilját. A privát böngészés nem győzi le az exploitot – állítja a FingerprintJS.
Az Apple nem kommentálta az iOS 15 és iPadOS 15 operációs rendszereknél – amelyeket a Pegasus-botrány miatt igyekeztek még biztonságosabbá tenni – azonosított problémával kapcsolatos megkereséseket, de a FingerprintJS azt közölte, hogy november 28-án jelentette a problémát, és az Apple még nem foglalkozott az azonos eredetű irányelveket tiszteletben tartó biztonsági protokoll javításával. Addig is az egyetlen megoldás lehet, hogy vagy harmadik féltől származó böngészőt kell használni a Maceken, vagy blokkolni kell az összes JavaScriptet, ami egyik sem feltétlenül opció.
