Služba FingerprintJS upozorňuje používateľov webového prehliadača Safari 15 na závažnú chybu, ktorá umožňuje webovým stránkam sledovať ich webovú aktivitu v reálnom čase.Chyba sa objavuje vo WebKit-ovej implementácii JavaScriptového API zvaného IndexedDB a umožňuje webovým stránkam odhaliť históriu prehliadaných stránok a dokonca aj identitu používateľa. V skratke, tento bug umožňuje ľubovoľnej navštívenej stránke ktorá používa IndexedDB získať názov IndexedDB databázy inej navštívenej stránky počas prehliadania Internetu v prehliadači. Potencionálne by tento bug mohol znamenať, že jedna otvorená stránka môže monitorovať iné stránky, ktoré používateľ navštívi v inom tabe alebo okne, nakoľko názvy databáz sú často unikátne a jedinečné pre každú stránku. Za normálnych okolností, stránky môžu pristupovať len ku vlastnej IndexedDB databáze. V niektorých prípadoch, webové stránky používajú špecifické používateľské identifikátory v IndexedDB databázach. Napríklad YouTube vytvára databázy, ktoré obsahujú autentifikované používateľské Google ID v názve databázy, a tento identifikátor môže byť použitý s Google API na získanie osobných informácií o používateľovi, napríklad profilový obrázok. Tieto informácie môžu pomôcť útočníkovi získať identitu používateľa.

Tento bug sa týka všetkých novších verzií prehliadačov, ktoré využívajú vykreslovacie jadro WebKit, vrátane Safari 15 pre Mac a Safari pre všetky verzie iOS 15 a iPadOS 15. Tento problém sa týka aj prehliadačov tretích strán pre iOS 15 a iPadOS 15, ako napr. Google Chrome pre iOS, nakoľko Apple vyžaduje od všetkých prehliadačov pre iOS aby využívali vykreslovacie jadro WebKit. Staršie prehliadače ako napr. Safari 14 pre Mac nie sú postihnuté touto chybou. FingerprintJS taktiež zdôrazňuje, že nie je vyžadovaná žiadna akcia od samotného používateľa a taktiež neochráni ani použitie privátneho módu v prehliadači. „Tab alebo okno, ktoré beží v pozadí a neustále dotazuje IndexedDB API na dostupné databázy môže zistiť, aké stránky navštevuje používateľ v reálnom čase“, píše sa na webe serveru FingerprintJS. „Alternatívne, stránky môžu otvoriť akúkoľvek inú webovú stránku v iframe alebo pop-up okne na inicializáciu úniku založenom na IndexedDB databáze pre tú špecifickú stránku.“ Používatelia musia čakať, kým Apple vydá záplatu. Na Macu je možné sa tejto chybe vyhnúť používaním iného prehliadača, čo však na iOS a iPadOS z vyššie uvedeného dôvodu nie je možné.

Zdroj