En feil i WebKit, den underliggende teknologien bak Apple sin nettleser Safari, lekker informasjon om nettleser-historikken og Google-kontoinformasjon når man er logget inn på Googles tjenester.
Hullene rammer Safari 15 og derfor macOS, samt iOS og iPadOS
Det er FingerprintJS som har avslørt hullet som anses som grovt. Sikkerhetsekspertene kontaktet Apple om problemet 28. november, men har ikke hørt tilbake fra selskapet.
Problemet, kort forklart, er at IndexedDB som brukes i Safari feilaktig deler database-informasjon med nettsider som ikke har noe med de andre domene å gjøre. På den måten kan nettsiden hente ut informasjon fra databasen.
Du kan selv undersøke med din egen nettleser og Google ID at feilen fungerer.
Annonse
Slik fungerer det:
Google har ikke gjort samme feil
Googe ID-en din, som er et unikt nummer, kan også hentes ut og da kan også hackere koble denne ID-en med andre nettsider surferen besøker – på den måten kan hackere skape seg et bilde av et mulig offer.
FingerprintJS har testet med 30 store nettsider og funnet at teknikken fungerer, men tallet er nok mye høyere da det trolig vil kunne utnyttes på nærmest alle nettsider som bruker IndexedDB JavaScript API-en.
Den korrekte måten å gjøre dette på, og som Chrome allerede gjør, er at nettsiden bare kan se databaser skapt av samme domenet som sitt eget, som 9to5Mac poengterer.
Annonse
