^

Poważna luka w Safari

Tomasz Wołkowski

19 stycznia 2022

Na początku tygodnia spadła na nas jak grom z jasnego nieba informacja o poważnej luce w przeglądarce Safari. Dzięki temu błędowi, strony internetowe mogą dotrzeć do  informacji o odwiedzających ją użytkownikach. Informacje te oczywiście nie powinny być dostępne. 

Jak wyjaśnia FingerprintJS, firma, która odkryła błąd w Safari 15, luka to wynik implementacji przez Apple interfejsu IndexedDB API w Safari. IndexedDB przechowuje dane podczas przeglądania. Odpowiada „za zgodność z polityką mówiącą o tym, że dane i dokumenty z jednej witryny nie będą widoczne dla innej”.

Safari 15 łamie te zasady. Gdy witryna odwiedzana w Safari wchodzi w interakcję z bazą danych, „nowa  baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych oknach, kartach i oknach w tej samej sesji przeglądarki na innych urządzeniach”. Nazwy baz danych tworzone przez Safari wyciekają teraz z różnych źródeł. Odwiedzane strony internetowe mogą zobaczyć nazwy innych utworzonych w bazie rekordów.

 To nie wszystko. Witryny, które korzystają z konta Google, tworzą bazy danych zawierające uwierzytelniony identyfikator użytkownika Google. Złośliwe strony internetowe mogą nie tylko zobaczyć taki identyfikator, ale także użyć go do połączenia wielu kont. Problem jest więc poważny. Aby unaocznić ten błąd obejrzyjcie krótki film, wyjaśniający działania tego błędu.

Niestety w chwili obecnej nie możemy nic zrobić oprócz chwilowego porzucenia Safari, do momentu naprawienia błędu. Apple już pracuje nad załataniem tego błędu i miejmy nadzieję, że poprawka wyjdzie bardzo szybko.

 

 

 

Tomasz Wołkowski

Nazywam się Tomasz Wołkowski i od 2006 r. korzystam z rozwiązań firmy Apple, kiedy to kupiłem MacBooka White 13" , był to pierwszy komputer od Apple z procesorem Intela. Od tamtego czasu korzystam tylko z rozwiązań Apple. Teraz prowadzę swoją firmę, ale w dalszym ciągu znajduję czas na to, żeby śledzić wydarzenia, dotyczące firmy z Cupertino.
Komentarze (2)
L

2 komentarze

  1. MK

    Mam pytanie do powyższego: czy włączenie Trybu Prywatnego w Safari nie zabezpiecza przed tym błędem wycieku danych z bazy?
    Zgodnie z opisem Tryb Prywatny nie zapisuje żadnych cookies, historii, danych witryn, danych formularzy itp.
    Czyli po zamknięciu strony w trybie prywatnym i otworzeniu nowej/innej też w trybie prywatnym baza danych powinna być pusta.

    Odpowiedz
    • Z3S

      To raczej pytanie do FingerprintJS, lub niebezpiecznika albo zaufanejtrzeciejstrony. „Redaktorzy technologiczni” wiedzą tylko tyle co przetłumaczą z angielskich witryn – nie mają swoich pentesterów ani wystarczającej wiedzy o zabezpieczeniach.

      Odpowiedz

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany.