Σφάλμα στο Safari επιτρέπει σε sites να παρακολουθούν την δραστηριότητα περιήγησης σε πραγματικό χρόνο

Ένα σφάλμα στο Safari 15 μπορεί να διαρρεύσει τι κάνατε στο ίντερνετ καθώς και να αποκαλύψει δεδομένα που συνδέονται με τον προσωπικό σας λογαριασμό στο Google. Αυτό διαπιστώθηκε από το FingerprintJS, μια υπηρεσία εντοπισμού δακτυλικών αποτυπωμάτων και ανίχνευσης απάτης στο πρόγραμμα περιήγησης (μέσω του 9to5Mac). Για την διαρροή ευθύνεται ένα ζήτημα με την υλοποίηση της IndexedDB της Apple, μιας διεπαφής προγραμματισμού εφαρμογών (API) που αποθηκεύει δεδομένα στο πρόγραμμα περιήγησής.  

Το IndexedDB τηρεί την “πολιτική του same-origin”, η οποία σχεδόν απαγορεύει μια πηγή από το να αλληλεπιδρά με δεδομένα που προέρχονται από αλλού – ουσιαστικά, μόνο ο ιστότοπος που παράγει τα δεδομένα μπορεί να έχει πρόσβαση σε αυτά. Για παράδειγμα, αν ανοίξετε το email σας σε μια καρτέλα και στη συνέχεια ανοίξετε μια “κακόβουλη” ιστοσελίδα σε μια άλλη, η πολιτική αυτή εμποδίζει την σελίδα από το να προβάλλει και να παρεμβαίνει στο email σας. 

Το FingerprintJS διαπίστωσε ότι η εφαρμογή του IndexedDB API από την Apple στο Safari 15 παραβιάζει στην πραγματικότητα την πολιτική same-origin. Όταν ένας ιστότοπος αλληλεπιδρά με μια βάση δεδομένων στο Safari, το FingerprintJS αναφέρει ότι μια νέα (κενή) βάση δεδομένων με το ίδιο όνομα δημιουργείται σε όλα τα άλλα ενεργά πλαίσια, δηλαδή -ανοιχτές- καρτέλες και παράθυρα, παράλληλα με την λειτουργία του προγράμματος περιήγησης. 

Αυτό σημαίνει ότι άλλοι ιστότοποι μπορούν να δουν το όνομα άλλων βάσεων δεδομένων, που έχουν δημιουργηθεί σε άλλους ιστότοπους, οι οποίες ενδέχεται να εμπεριέχουν λεπτομέρειες για την ταυτότητα του χρήστη.  

Το FingerprintJS σημειώνει ότι οι ιστότοποι που συνδέονται και άρα χρησιμοποιούν τον λογαριασμό στο Google όπως το YouTube, δημιουργούν όλες τις βάσεις δεδομένων με το μοναδικό αναγνωριστικό χρήστη Google στο όνομά τους. Το γνωστό ως Google User ID επιτρέπει στην Google να έχει πρόσβαση στα δημόσια διαθέσιμα προσωπικά δεδομένα όπως η εικόνα του προφίλ, που λόγω του σφάλματος στο Safari μπορούν να εκτεθούν και αλλού.    

Το FingerprintJS δημιούργησε ένα δοκιμαστικό demo για Safari 15+ σε Mac, iPhone ή iPad, το οποίο χρησιμοποιεί την ευπάθεια IndexedDB του προγράμματος περιήγησης για τον εντοπισμό των ιστότοπων που έχουν ανοίξει πρόσφατα και δείχνει πώς οι ιστότοποι που εκμεταλλεύονται το σφάλμα μπορούν να αποσπάσουν πληροφορίες από το Google User ID.  

Προς το παρόν εντοπίζει μόνο 30 δημοφιλείς ιστότοπους που επηρεάζονται από το σφάλμα, συμπεριλαμβανομένου του Instagram, του Netflix, του Twitter, του Xbox, ενώ πιθανότατα επηρεάζει πολύ περισσότερους. Δυστυχώς, δεν υπάρχουν πολλά που μπορούν να κάνουν οι χρήστες για να παρακάμψουν το ζήτημα, καθώς το σφάλμα επηρεάζει επίσης τη λειτουργία Private Browsing στο Safari. Αν και μπορούν να χρησιμοποιήσουν ένα διαφορετικό πρόγραμμα περιήγησης στο macOS, η απαγόρευση της μηχανής περιήγησης τρίτων από την Apple στο iOS σημαίνει ότι επηρεάζονται όλα τα προγράμματα περιήγησης, με την εταιρεία να μην έχει δώσει ακόμη απαντήσεις σχετικά με το πρόβλημα.