Home » Bug Safari 15 dapat membocorkan aktivitas pribadi anda

Bug Safari 15 dapat membocorkan aktivitas pribadi anda

bug safari 15

Bug di Safari 15 dapat membocorkan aktivitas penelusuran Anda, dan juga dapat mengungkapkan beberapa informasi pribadi yang terlampir ke akun Google Anda. Menurut temuan dari FingerprintJS, layanan sidik jari browser dan deteksi penipuan (melalui 9to5Mac).

Kerentanan ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemrograman aplikasi (API) yang menyimpan data di browser Anda.

Seperti penjelasan oleh FingerprintJS, IndexedDB mematuhi kebijakan asal yang sama. Yang membatasi satu asal untuk berinteraksi dengan data yang terkumpul di sumber lain. Pada dasarnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.

Misalnya, jika Anda membuka akun email di satu tab dan kemudian membuka halaman web berbahaya di tab lain, kebijakan asal yang sama mencegah halaman berbahaya melihat dan mencampuri email Anda.

FingerprintJS menemukan bahwa aplikasi API IndexedDB Apple di Safari 15 sebenarnya melanggar kebijakan asal yang sama.

Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan bahwa “database baru (kosong) dengan nama yang sama terbuat di semua bingkai. Tab, dan jendela aktif lainnya dalam sesi browser yang sama.”

Ini berarti situs web lain dapat melihat nama basis data lain yang dibuat di situs lain, yang dapat berisi detail khusus untuk identitas Anda.

FingerprintJS mencatat situs yang menggunakan akun Google Anda, seperti YouTube, Google Kalender, dan Google Keep. Semuanya menghasilkan basis data dengan ID Pengguna Google unik Anda dalam namanya.

ID Pengguna Google Anda memungkinkan Google untuk mengakses informasi Anda yang tersedia untuk umum. Seperti gambar profil Anda, yang dapat terekspos oleh bug Safari ke situs web lain.

Bug Safari 15 dapat membocorkan aktivitas penelusuran terbaru

FingerprintJS membuat demo bukti konsep yang dapat Anda coba jika Anda memiliki Safari 15 dan yang lebih baru di Mac, iPhone, atau iPad Anda. Demo menggunakan kerentanan IndexedDB browser untuk mengidentifikasi situs yang telah Anda buka (atau buka baru-baru ini).

Dan menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari ID Pengguna Google Anda. Saat ini hanya mendeteksi 30 situs populer yang terpengaruh oleh bug, seperti termasuk Instagram, Netflix, Twitter, Xbox. Tetapi kemungkinan itu mempengaruhi jauh lebih banyak.

Sayangnya, tidak banyak yang dapat Anda lakukan untuk mengatasi masalah ini, karena FingerprintJS mengatakan bahwa bug tersebut juga memengaruhi mode Penjelajahan Pribadi di Safari.

Anda dapat menggunakan browser yang berbeda di macOS. Tetapi larangan mesin browser pihak ketiga Apple di iOS berarti semua browser terpengaruh.

FingerprintJS melaporkan kebocoran tersebut ke WebKit Bug Tracker pada 28 November. Tetapi belum ada pembaruan untuk Safari.

Leave a Reply

Your email address will not be published. Required fields are marked *