Greška u Safariju koju je pronašla sigurnosna kompanija FingerprintJS može omogućiti bilo kojoj web stranici da prati vašu povijest pregledavanja, pa čak i neke informacije koje se odnose na prijavljeni Google račun.
Prisutan je u Safarijevoj implementaciji IndexedDB na Mac i iOS i omogućuje web stranicama da vide nazive baza podataka za bilo koju domenu, a ne samo za vlastitu. IndexedDB je Javascript API koji prema izvješću sadrži “značajnu količinu podataka”.
Ti se nazivi baza podataka zatim mogu koristiti za izdvajanje identifikacijskih informacija iz pregledne tablice. Googleove usluge, na primjer, pohranjuju IndexedDB instancu za svaki vaš prijavljeni račun. Tome mogu pristupiti zlonamjerne stranice kako bi otkrile druge podatke o vama, kao što je profilna slika vašeg Google računa. Dok FingerprintJS demo za provjeru koncepta zadržava samo indeks od oko 30 stranica, postoji velika šansa da će se exploit primijeniti na mnogo veći skup. Gotovo svaka web-lokacija koja koristi IndexedDB JavaScript API mogla bi biti ranjiva na takvo scraping podataka.
Nažalost, ne postoji mnogo što se može učiniti sa strane korisnika kako bi se popravio Safari bug, osim potpunog blokiranja Javascripta na nepouzdanim web-lokacijama, što nije previše izvedivo jer će tad korištenje stranica biti gotovo nemoguće.
Jedini pravi popravak očito može napraviti samo Apple. Preglednici poput Chromea dopuštaju samo web-mjestima pristup bazama podataka na IndexedDB kreiranim s istim imenom domene kao i njihova vlastita, a vrijeme je da Apple krene na isti način sa Safarijem.
FingerprintJS kaže da je već prijavio bug Appleu 28. novembra, ali još uvijek treba vidjeti ispravku, prenosi GizmoChina.
