Specialisté na oblast bezpečnosti ze společnosti FingerprintJS objevili novou zranitelnost ve WebKitu, což je modul prohlížeče Safari, používaný mimo jiné ve smartphonech iPhone, tabletech iPad a počítačích Mac. Toho může zneužít speciálně připravená webová stránka a zjistit podrobnosti o chování uživatele při surfování.
Na svém serveru fingerprintjs.com vše popisují v příspěvku "Exploiting IndexedDB API information leaks in Safari 15" a o podrobnostech zranitelnosti, která byla zveřejněna 14. ledna, informoval i server 9to5Mac ve svém příspěvku "Safari bug can leak some of your Google account info and recent browsing history". Popis obsahuje kromě odkazu na zdrojový kód, který je k dispozici na platformě GitHub, také odkaz na aktivní webovou stránku, která demonstruje odhalené problémy.
Mezera v zabezpečení iPhonů, iPadů a Maců: data mohou číst třetí strany
Zranitelnost zabezpečení v prohlížeči Safari se týká také iPhonů. | Zdroj: David Grandmougin/Unsplash
Na ukázkové webové stránce Safarileaks.com experti předvádějí, že web je schopen sledovat mimo jiné aktivity se službami Google i různých dalších poskytovatelů. Demo ukazuje, že je například možné přečíst jedinečné ID uživatele Google. To je možné z toho důvodu, že služby Google ukládají položku do IndexedDB pro každý z vašich přihlášených účtů, přičemž název databáze odpovídá vašemu ID uživatele Google.
Pomocí tohoto ID, které se používá k zadávání požadavků na aplikační rozhraní služeb, je pak například možné načíst profilový obrázek uživatele. Podle vývojářů by teoreticky mohl být použit i ke zjištění dalších osobních údajů. Chyba je předvedena ve videu:
| Zdroj: YouTube/FingerptintJS, How IndexedDB in Safari 15 leaks your browsing activity
Apple: na opravě zranitelnosti se údajně už pracuje
Zdrojem problému je chyba v úložišti IndexedDB. Tuto databázi mohou webové stránky používat k ukládání dat v prohlížeči uživatele. Tyto databáze by ale měly být chráněny tak, aby webové stránky měly přístup pouze ke svým vlastním datům. Chyba ovšem umožňuje obecný přístup, který odhaluje názvy dalších existujících databází pro libovolnou doménu. Názvy databází pak lze zneužít k získání identifikačních informací z vyhledávací tabulky. Tím jsou potenciálně ohroženy osobní údaje uživatele. Sledování uživatele na více webech je možné také. Útočníci si tak mohou vytvořit rozsáhlý profil.
Zranitelností je postižen prohlížeč Safari 15 v systému macOS a všechny prohlížeče pro iOS a iPadOS 15. V mobilních zařízeních Apple nepovoluje žádná alternativní jádra prohlížečů, takže se zranitelnost týká i například Chrome na iPhonu nebo iPadu.
Podle informací Martina Bajanika, vývojáře softwaru ve společnosti FingerprintJS, už Apple v uplynulých hodinách předložil aktualizace, které tuto bezpečnostní mezeru zacelí. Nyní ještě musí vydat updaty pro postižené operační systémy, aby došlo k opravě chyby i v zařízeních uživatelů.
