Nově objevená chyba v prohlížeči Safari 15 od společnosti Apple souvisí se zakomponováním systému IndexedDB, což je aplikační rozhraní pro ukládání dat. Nemá ho jenom Safari, ale pracuje s ním většina moderních prohlížečů. Avšak jejich způsob implementace, zdá se, tyto problémy nemá.
IndexedDB je javascriptové rozhraní, které je využíváno k ukládání velkého množství dat ve vašem počítači, aby brouzdání po webech probíhalo rychleji. Problém, na který upozornila firma FingerprintJS, spočívá v bezpečnostním systému, který zajišťuje, že data z jedno zdroje nemůže využívat jiný zdroj. Toto zabezpečení je označováno jako same origin a znamená, že každá webová stránka může přistupovat jen k těm datům, která byla s její pomocí vygenerována.
V případě jádra Webkit, které Safari využívá, je však tato ochrana narušena. Webové stránky tak mají přístup k datům vytvořeným jinými weby, což jim umožňuje sledovat vaše zvyky při procházení. Je přitom jedno, ve kterých záložkách nebo oknech prohlížeče tato data vznikla. Chyba navíc může vést i k úniku vaší identity.
To je způsobeno tím, že některé stránky využívají unikátní identifikátory v databázových jménech.
„To znamená, že ověřené uživatele lze jednoznačně a přesně identifikovat. Oblíbenými příklady jsou Youtube, Google kalendář nebo Google Keep. Všechny tyto webové stránky vytvářejí databáze, které obsahují ověřené ID uživatele Googlu, a v případě, že je uživatel přihlášen k více účtům, jsou vytvořeny databáze pro všechny tyto účty,“ popisují problém odborníci z FingerprintJS.
V konečném důsledku může být takto získaný identifikátor využit k získání dalších osobních údajů uživatele, minimálně profilové fotografie.
Firma vyzkoušela na tisícovce nejnavštěvovanějších stránek, zda a jak IndexedDB využívají. Zjistila, že více než 30 webových stránek komunikuje s indexovanými databázemi přímo na své domovské stránce, a to bez další interakce uživatele nebo nutnosti ověřování.
Firma Apple o chybě věděla od loňského 28. listopadu, na opravě však pracuje až nyní a začne ji distribuovat co nejdříve. Neváhejte tedy s aktualizací hned, jak bude k dispozici.
