Ένα bug στην εφαρμογή ενός JavaScript API από το WebKit που ονομάζεται IndexedDB μπορεί να αποκαλύψει το πρόσφατο ιστορικό περιήγησής σας, ακόμη και την ταυτότητά σας. Αυτό αναφέρει μια ανάρτηση ιστολογίου που κοινοποιήθηκε την Παρασκευή από την υπηρεσία δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης FingerprintJS.
Όπως φαίνεται, το συγκεκριμένο bug επιτρέπει σε κάθε ιστότοπο που χρησιμοποιεί IndexedDB να έχει πρόσβαση στα ονόματα των βάσεων δεδομένων IndexedDB που δημιουργούνται από άλλους ιστότοπους κατά τη διάρκεια της περιόδου σύνδεσης περιήγησης ενός χρήστη.
Αυτό το σφάλμα θα μπορούσε να επιτρέψει σε έναν ιστότοπο να παρακολουθεί άλλους ιστότοπους που επισκέπτεται ο χρήστης σε διαφορετικές καρτέλες ή παράθυρα, καθώς τα ονόματα της βάσης δεδομένων είναι συχνά μοναδικά και συγκεκριμένα για κάθε ιστότοπο. Η σωστή και φυσιολογική συμπεριφορά θα πρέπει να είναι ότι οι ιστότοποι μπορούν να έχουν πρόσβαση μόνο στις δικές τους βάσεις δεδομένων IndexedDB.
Για να το καταλάβουμε καλύτερα ας πάρουμε για παράδειγμα το YouTube που δημιουργεί βάσεις δεδομένων που περιλαμβάνουν στο όνομα το αναγνωριστικό χρήστη Google με έλεγχο ταυτότητας. Αυτό το αναγνωριστικό μπορεί να χρησιμοποιηθεί με τα API της Google για τη λήψη προσωπικών πληροφοριών σχετικά με τον χρήστη, όπως μια εικόνα προφίλ. Αυτά τα προσωπικά στοιχεία θα μπορούσαν να βοηθήσουν έναν κακόβουλο παράγοντα να προσδιορίσει την ταυτότητα ενός χρήστη.
Το bug επηρεάζει νεότερες εκδόσεις προγραμμάτων περιήγησης που χρησιμοποιούν τη μηχανή προγράμματος περιήγησης ανοιχτού κώδικα της Apple WebKit, συμπεριλαμβανομένου του Safari 15 για Mac και Safari σε όλες τις εκδόσεις του iOS 15 και του iPadOS 15. Επηρεάζει επίσης προγράμματα περιήγησης τρίτων όπως το Chrome στο iOS 15 και το iPadOS 15.
Η FingerprintJS σημείωσε ότι δεν απαιτείται καμία ενέργεια χρήστη προκειμένου ένας ιστότοπος να έχει πρόσβαση στα ονόματα βάσης δεδομένων IndexedDB που δημιουργούνται από άλλους ιστότοπους.
“Μια καρτέλα ή παράθυρο που εκτελείται στο παρασκήνιο και απευθύνει συνεχώς ερωτήματα στο IndexedDB API για διαθέσιμες βάσεις δεδομένων, μπορεί να μάθει ποιους άλλους ιστότοπους επισκέπτεται ένας χρήστης σε πραγματικό χρόνο”, ανέφερε η ανάρτηση ιστολογίου. “Εναλλακτικά, οι ιστότοποι μπορούν να ανοίξουν οποιονδήποτε ιστότοπο σε ένα iframe ή αναδυόμενο παράθυρο προκειμένου να ενεργοποιηθεί μια διαρροή που βασίζεται στο IndexedDB για τον συγκεκριμένο ιστότοπο.”
Η λειτουργία ιδιωτικής περιήγησης, μάλιστα, δεν προστατεύει από το bug στις επηρεαζόμενες εκδόσεις του Safari.
Οι χρήστες θα πρέπει να περιμένουν την Apple να αντιμετωπίσει το bug με ενημερώσεις λογισμικού, αλλά μέχρι τότε όσοι χρησιμοποιούν το Safari 15 θα μπορούσαν προσωρινά να μεταβούν σε διαφορετικό πρόγραμμα περιήγησης στο Mac. Αυτό ωστόσο δεν είναι δυνατό στο iPhone ή το iPad, καθώς όλα τα προγράμματα περιήγησης επηρεάζονται από το σφάλμα WebKit σε αυτές τις συσκευές.
ΣΥΖΗΤΗΣΗ