kesalahan dalam Safari 15 Itu dapat membocorkan aktivitas penjelajahan Anda, dan juga dapat mengungkapkan beberapa informasi pribadi yang dilampirkan ke akun Google Anda, menurut Hasil dari FingerprintJS, yang merupakan layanan pendeteksian sidik jari dan penipuan browser (melalui 9to5Mac). Kerentanan berasal dari masalah dengan aplikasi Apple untuk diindeks dbAntarmuka pemrograman aplikasi (API) yang menyimpan data di browser Anda.

Seperti yang ditunjukkan oleh FingerprintJS, IndexedDB mematuhi ekstensi Kebijakan asal yang sama, yang membatasi satu sumber untuk berinteraksi dengan data yang dikumpulkan dari aset lain—pada dasarnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya. Misalnya, jika Anda membuka akun email di satu tab dan kemudian membuka halaman web berbahaya di tab lain, kebijakan sumber yang sama mencegah halaman berbahaya melihat dan mengganggu email Anda.

FingerprintJS telah mendeteksi bahwa implementasi API IndexedDB Apple di Safari 15 sudah melanggar kebijakan sumber yang sama. Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan bahwa “database baru (kosong) dengan nama yang sama dibuat di semua jendela, tab, dan jendela aktif lainnya di sesi browser yang sama.”

Ini berarti bahwa situs web lain dapat melihat nama database lain yang dibuat di situs web lain, yang mungkin berisi detail identitas Anda. FingerprintJS Notes Situs yang menggunakan akun Google Anda, seperti YouTube, Google Kalender, dan Google Keep, semuanya membuat basis data dengan ID pengguna Google unik Anda atas namanya. ID pengguna Google Anda memungkinkan Google untuk mengakses informasi Anda yang tersedia untuk umum, seperti gambar profil Anda, yang dapat diekspos oleh kesalahan Safari ke situs web lain.

FingerprintJS telah dibuat Tunjukkan bukti konsep Anda dapat mencoba jika Anda memiliki Safari 15 dan yang lebih baru di Mac, iPhone, atau iPad Anda. Demo menggunakan kerentanan IndexedDB browser untuk mengidentifikasi situs yang telah Anda buka (atau baru saja dibuka), dan menunjukkan bagaimana bug menggores informasi dari ID pengguna Google Anda. Saat ini hanya mendeteksi 30 situs populer yang terkena cacat, seperti Instagram, Netflix, Twitter, dan Xbox, tetapi kemungkinan akan memiliki dampak yang jauh lebih besar.

Sayangnya, tidak banyak yang dapat Anda lakukan untuk mengatasi masalah ini, karena FingerprintJS mengatakan bahwa kesalahan tersebut juga memengaruhi mode Penjelajahan Pribadi Safari. Anda dapat menggunakan browser lain di macOS, tetapi Pemblokiran mesin browser pihak ketiga Apple di iOS Ini berarti semua browser terpengaruh. FingerprintJS melaporkan kebocoran tersebut ke WebKit Bug Tracker pada 28 November, tetapi belum ada pembaruan untuk Safari. tepi Saya menghubungi Apple untuk meminta komentar tetapi tidak ada tanggapan segera.