API'leri düzgün bir şekilde güvenceye almak son derece önemlidir. Ağustos 2021'de, Microsoft'un Power Apps portallarındaki varsayılan yapılandırma, gizli bilgileri barındıran herkese açık bir API nedeniyle 38 milyon kaydın sızdırılmasına neden oldu. Şimdi, güvenlik araştırmacıları, Safari 15 API'sinde kişisel verilerinizi sızdırabilecek benzer bir hata tespit ettiler.
FingerprintJS'deki güvenlik araştırmacıları, IndexedDB API'sinin uygulanmasında, dizinlenmiş veritabanlarının, komut dosyalarının ve bir kaynağın belgelerinin başka bir kaynaktan nesnelerle etkileşime girememesi gereken aynı kaynak güvenlik mekanizmasını izlemesi gereken bir sorun buldu.
Ancak IndexedDB bu politikayı ihlal ediyor. Araştırmacılar, bir web sitesi bir veritabanıyla her iletişim kurduğunda, macOS'ta Safari 15 ve iOS ve iPadOS 15'te tarayıcının tüm sürümleri, içindeki tüm etkin sekmelerde, çerçevelerde ve pencerelerde yeni ve boş, ancak paylaşılan bir veritabanı oluşturduğunu kaydetti. aynı tarayıcı oturumu. Daha da kötüsü, bu çapraz kaynaklı çoğaltılmış veritabanının orijinal ile aynı adla oluşturulmuş olmasıdır; bu, kötü niyetli bir web sitesi yazarının erişmekte olduğunuz verilerin hassasiyetini belirlemesinin daha kolay olduğu anlamına gelir.
Güvenlik analistleri, YouTube, Google Takvim ve Google Keep gibi bazı web sitelerinin, daha sonra bir bireye ait heterojen verileri izlemek ve bağlamak için kullanılabilecek Google Kullanıcı Kimliği gibi kimliklere dayalı veritabanları oluşturduğunu kaydetti. Blog gönderisinde şunlardan bahsediliyor:
Bu sızıntıların belirli bir kullanıcı eylemi gerektirmediğini unutmayın. Arka planda çalışan ve mevcut veritabanları için IndexedDB API'sini sürekli olarak sorgulayan bir sekme veya pencere, bir kullanıcının gerçek zamanlı olarak başka hangi web sitelerini ziyaret ettiğini öğrenebilir. Alternatif olarak, web siteleri, belirli bir site için IndexedDB tabanlı bir sızıntıyı tetiklemek için herhangi bir web sitesini bir iframe veya açılır pencerede açabilir.
Esasen, IndexedDB'yi kullanan herhangi bir web sitesi etkilenir, bu da bu web sitelerinin kullanıcılarının gizliliklerinin risk altında olduğu anlamına gelir. Daha da kötüsü, özel modun tek bir sekmeyle sınırlı olması veri sızıntısının olası boyutunu azaltmasına rağmen, Safari'yi özel modda kullanan kişilerin bile güvenli olmamasıdır. Ancak, aynı sekmede birden fazla web sitesini ziyaret ederseniz, verileriniz tüm bu web sitelerine sızacaktır.
FingerprintJS, sorunu 28 Kasım 2021'de Apple'a bildirdi ancak Safari şu ana kadar bu hata için herhangi bir güncelleme almadı. Araştırmacılar ayrıca, kavram kanıtı kodunu ve hatanın bir demosunu herkese açık olarak yayınladılar; bu, kötü niyetli aktörlerin istismardan yararlanma olasılığının daha yüksek olduğu ve Apple'ın mümkün olan en kısa sürede bir düzeltme yapması gerekeceği anlamına geliyor.
Şimdilik, kendinizi veri sızıntısından ve izlemeden korumanın tek yolu, varsayılan olarak tüm JavaScript'leri engellemektir, ancak bu muhtemelen tarama deneyiminizi engelleyecektir. macOS kullanan kişiler de şimdilik farklı bir tarayıcıya geçebilirler ancak bu geçici çözüm ne yazık ki iOS kullanıcıları için çalışmayacaktır, çünkü Apple'ın mobil işletim sistemindeki tüm tarayıcılar WebKit'i temel alır, bu da onların da etkilendiği anlamına gelir.