Bug di Safari diduga membocorkan akun Google saat membuka Instagram-Twitter
Ilustrasi Safari.(Medcom/Reka) |
Sebuah bug pada browser Safari 15 dikatakan dapat membocorkan aktivitas browsing pengguna dan mengekspos berbagai informasi pribadi yang dilampirkan pada akun Google mereka.
Laporan bug diekspos oleh layanan sidik jari browser.
FingerprintJS Kerentanan ini disebabkan oleh masalah dengan implementasi Apple terhadap IndexedDB, antarmuka pemrograman aplikasi yang
menyimpan data di browser pengguna.
seperti yang dijelaskan oleh FingerprintJS IndexedDB mematuhi kebijakan Asal yang sama. Ini
membatasi interaksi Anda dengan informasi yang dikumpulkan dari sumber lain. Hanya situs web yang
menghasilkan informasi yang dapat mengaksesnya.
Misalnya, jika pengguna membuka akun email di satu tab dan membuka halaman web berbahaya di tab lain.
Kebijakan privasi dapat mencegah halaman berbahaya melihat dan mengganggu email pengguna.
FingerprintJS Aplikasi API IndexedDB Apple di Safari 15 ditemukan melanggar privasi dan kebijakan yang sebenarnya.
Saat situs web berinteraksi dengan database di Safari FingerprintJS Mengatakan database kosong
dengan nama yang sama akan dibuat di setiap frame, tab, dan jendela lainnya. yang aktif dalam sesi browser yang sama.
Ini berarti bahwa situs web lain dapat melihat database yang dibuat di situs lain. yang dapat berisi detail kredensial pengguna
FingerJS menyimpan situs yang menggunakan akun Google, seperti YouTube, Google Kalender, dan Google Keep, yang semuanya membuat database dengan ID Pengguna Google atas namanya.
ID pengguna Google memungkinkan Google mengakses informasi yang tersedia untuk umum, seperti gambar profil, yang dapat diekspos oleh bug Safari ke situs web lain.
FingerJS telah menyediakan demo bukti konsep yang dapat Anda coba jika Anda memiliki Safari 15 atau lebih baru di Mac, iPhone, atau iPad Anda.
Demo menggunakan kerentanan IndexedDB browser untuk mengidentifikasi situs yang pernah Anda kunjungi.
Ini menunjukkan kepada Anda bagaimana situs eksploit dapat mengambil informasi dari ID Pengguna Google Anda.
Saat ini, demo hanya mendeteksi 30 situs populer yang terkena bug, termasuk Instagram, Netflix, Twitter, Xbox.
Maaf, Anda tidak dapat berbuat banyak tentang masalah ini karena FingerprintJS Dikatakan bug itu juga memengaruhi mode penjelajahan pribadi di Safari.
The Verge telah menghubungi Apple untuk mendapatkan jawaban tentang penemuan tersebut. Namun sejauh ini Apple belum memberikan tanggapan.
Dikutip oleh 9to5mac, FingerprintJS. Bug mencurigakan yang bisa membocorkan akun Google dilaporkan ke WebKit Bug Tracker pada 28 November, tetapi sejauh ini belum diperbarui di Safari.