Ένα σοβαρό σφάλμα στο Safari, που αποκαλύπτεται σε δημοσίευση του FingerprintJS, μπορεί να διαρρεύσει πληροφορίες σχετικά με το πρόσφατο ιστορικό περιήγησης, ακόμα και ορισμένες πληροφορίες του συνδεδεμένου λογαριασμού Google.

Ένα σφάλμα στο IndexedDB του Safari σε macOS και iOS είναι η αιτία που ένας ιστότοπος μπορεί να δει τα ονόματα των βάσεων δεδομένων για οποιοδήποτε domain πέρα του δικού του.

Τα ονόματα της βάσης δεδομένων μπορούν στη συνέχεια να χρησιμοποιηθούν για την εξαγωγή πληροφοριών αναγνώρισης από έναν πίνακα αναζήτησης. Μπορείτε να το δοκιμάσετε μόνοι σας με αυτό το live demo.

Για παράδειγμα, οι υπηρεσίες Google αποθηκεύουν μια εκχώρηση για κάθε έναν από τους συνδεδεμένους λογαριασμούς, με το όνομα της βάσης δεδομένων να αντιστοιχεί στο αναγνωριστικό χρήστη Google.

Χρησιμοποιώντας το exploit που περιγράφεται στη δημοσίευση, ένας κακόβουλος ιστότοπος θα μπορούσε να πάρει το αναγνωριστικό χρήστη Google και στη συνέχεια να το χρησιμοποιήσει για να ανακαλύψει άλλες προσωπικές πληροφορίες.

Αυτό το αναγνωριστικό χρησιμοποιείται για την υποβολή αιτημάτων API στις υπηρεσίες Google. Στην επίδειξη εκμετάλλευσης του exploit στο Safari αποκαλύπτεται η εικόνα προφίλ του χρήστη.

Το proof-of-concept διατηρεί μόνο έναν πίνακα αναζήτησης περίπου 30 domain names, ωστόσο δεν υπάρχει λόγος να μην μπορούσε να εφαρμοστεί η τεχνική σε πολύ μεγαλύτερο σύνολο.

Σχεδόν κάθε ιστότοπος που χρησιμοποιεί IndexedDB JavaScript API θα μπορούσε να είναι ευάλωτος σε τέτοιου είδους διαρροή δεδομένων. Στην ουσία το σφάλμα αφορά το ότι τα ονόματα όλων των βάσεων δεδομένων είναι διαθέσιμα σε οποιονδήποτε ιστότοπο.

Όμως, η πρόσβαση στο πραγματικό περιεχόμενο κάθε βάσης δεδομένων είναι περιορισμένη. Η σωστή λειτουργία επιτρέπει σε κάθε ιστότοπο να δει μόνο τις βάσεις δεδομένων που δημιουργούνται με το ίδιο domain name με το δικό του.

Όλες οι τρέχουσες εκδόσεις του Safari σε iPhone, iPad, και Mac, είναι ευάλωτες. Το FingerprintJS λέει ότι ανέφερε το σφάλμα στην Apple στις 28 Νοεμβρίου, αλλά δεν έχει ακόμη επιλυθεί.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.