A WebKit egy IndexedDB nevű JavaScript API implementációjának hibája felfedheti a Safari böngészési előzményeit és akár a személyazonosságunkat is – derül ki a FingerprintJS pénteken közzétett blogbejegyzéséből.
Dióhéjban a hiba lehetővé teszi, hogy bármelyik IndexedDB-t használó weboldal hozzáférjen a felhasználó böngészési munkamenete során más weboldalak által generált IndexedDB adatbázisok neveihez. A hiba lehetővé teheti, hogy egy weboldal nyomon követhesse a felhasználó által különböző lapokon vagy ablakokban meglátogatott más weboldalakat, mivel az adatbázisnevek gyakran egyediek és az egyes weboldalakra jellemzőek. Ennek helyesen úgy kellene működnie, hogy a webhelyek csak a saját IndexedDB-adatbázisukhoz férhetnek hozzá.
Bizonyos esetekben a webhelyek egyedi, felhasználó-specifikus azonosítókat használnak az IndexedDB adatbázisnevekben. A YouTube például olyan adatbázisokat hoz létre, amelyek nevében szerepel a felhasználó hitelesített Google felhasználói azonosítója, és ez az azonosító a FingerprintJS szerint a Google API-kkal felhasználható a felhasználó személyes adatainak, például profilképének lekérdezésére. Ezek a személyes információk segíthetnek egy rosszindulatú szereplőnek a felhasználó személyazonosságának megállapításában.
A hiba az Apple nyílt forráskódú böngészőmotorját, a WebKitet használó böngészők újabb verzióit érinti, beleértve a Safari 15-öt Macre és a Safarit az iOS 15 és iPadOS 15 összes verzióját. A hiba harmadik féltől származó böngészőket, például a Chrome-ot is érinti az iOS 15 és az iPadOS 15 rendszereken, mivel az Apple minden böngészőnek a WebKit használatát írja elő az iPhone és iPad készülékeken. A FingerprintJS élőben mutatja be a hibát, amely szerint a régebbi böngészők, például a Safari 14 for Mac nem érintett.
A FingerprintJS megjegyezte, hogy nincs szükség felhasználói műveletre ahhoz, hogy egy weboldal hozzáférjen a más weboldalak által generált IndexedDB adatbázisnevekhez.
„Egy olyan lap vagy ablak, amely a háttérben fut, és folyamatosan lekérdezi az IndexedDB API-t az elérhető adatbázisok után, valós időben megtudhatja, hogy a felhasználó milyen más webhelyeket látogat” – áll a blogbejegyzésben. „Alternatívaként a webhelyek bármely webhelyet megnyithatnak egy iframe vagy felugró ablakban, hogy az adott webhely IndexedDB-alapú szivárgását kiváltsák”.
A privát böngészési mód nem véd az érintett Safari-verziókban a hiba ellen. A felhasználóknak meg kell várniuk, hogy az Apple szoftverfrissítésekkel kezelje a hibát.
