Apple‘ın yakın zamanda piyasaya sürdüğü Safari 15‘te, tarama geçmişinizi ve diğer önemli bilgileri kötü amaçlı web sitelerine gösterebilecek bir hata var. FingerprintJS tarafından keşfedilen hata, Safari‘nin IndexesDB API‘sinde bulundu ve şu ana kadar kullanılabilir durumda. İşte bu konuda bilmeniz gerekenler.
İlginizi Çekebilir; VLOG’CULAR TOPLANIN! | DJI OM 5 vs DJI OM 4 | BÜYÜK PİL FARKI!
İçindekiler
Bu Safari 15 Hatasına Dikkat Edin
Keşfedilen Safari hatası, ayrıntılı bir blog gönderisinde açıklanmıştır. Blog gönderisine göre, önemli miktarda yapılandırılmış tarama verisini depolamak için kullanılan düşük seviyeli bir uygulama programlama arayüzü (API) olan IndexedDB‘nin uygulanmasındaki bir güvenlik açığı, web sitelerinin kullanıcı etkinliğini izlemesine ve benzersiz Google kullanıcı kimlikleri almasına olanak tanıyor.
Google kullanıcı kimliği, bir Google hesabını tanımak için benzersiz bir tanımlayıcıdır ve kullanıcıların herkese açık kişisel bilgilerini almak için kullanılabilir. Bu nedenle, istismar, kullanıcıların profil fotoğrafları da dahil olmak üzere bu tür bilgileri siber suçlulara sızdırabilir.
Habersiz olanlar için, çoğu modern web güvenlik teknolojisi gibi IndexedDB WebKit, web tarayıcılarındaki kullanıcı verilerini korumak için aynı kaynak politikasını izler. Bu, yalnızca bir etki alanındaki depolanmış verilere erişebileceği ve bir kaynaktan gelen verilerin başka bir kaynaktaki kaynaklarla etkileşime girmesini kısıtladığı anlamına gelir. Basit bir deyişle, tarayıcınızın bir sekmesinde bir web sitesini ve diğerinde e-postanızı açarsanız, aynı kaynak politikası web sitesinin, e-postanızın açıldığı diğer sekmenin etkinliğini görüntülemesini veya izlemesini kısıtlar.
Bunu daha fazla açıklamak için FingerprintJS ekibi, hatayı Safari 15‘te sergilemek için bir kavram kanıtı demo web sitesi oluşturdu. Dolayısıyla, Safari‘yi Mac veya iOS cihazınızda kullanıyorsanız, bu bağlantıya gidebilir ve demoyu deneyebilirsiniz.
Testlerde, demo web sitesi, tarama oturumu sırasında ziyaret edilen web sitelerini izleyebildi ve ayrıca benzersiz Google kimliğini ve ilgili profil resmini elde edebildi. Bloomberg, Slack, Instagram, Netflix, Twitter ve daha fazlası dahil olmak üzere şu anda 30 popüler web sitesini tespit ettiği söyleniyor. Ayrıca hata, Safari‘deki Özel Tarama modundaki kullanıcıları da etkileyebilir.
Gönderi ayrıca, “kökenler arası çoğaltılmış veritabanları” silinebilirken, bir sorunun bunun olmasına izin vermediğini öne sürüyor.
FingerprintJS‘in geçen yıl 28 Kasım’da hatayı Apple‘a bildirdiği ortaya çıktı. Ancak o günden bu yana sorunu çözmek için herhangi bir adım atılmadı. Bir kullanıcının yapabileceği fazla bir şey olmadığı için Apple‘ın bunu sıralamak için ne gibi önlemler aldığı görülüyor.