Jos välität yksityisyydestäsi, sinun on laskettava iPhonesi. Safarin vakavan käyttöönottovirheen jälkeen mikä tahansa verkkosivusto pystyy lukemaan osan yksityisistä tiedoistasi ja viimeaikaisesta selaushistoriastasi, jopa käytettäessä yksityistä selaustilaa.

Ongelma liittyy siihen, kuinka Safari toteuttaa IndexedDB:n, selainpohjaisen tietokannan, jota verkkosovellukset käyttävät yleisesti. Useimmat selaimet luovat jokaiselle verkkosivustolle uuden IndexedDB-esiintymän, jota voidaan käyttää vain kyseiseltä verkkosivustolta.

Safari kuitenkin luo tyhjiä versioita IndexedDB:stä, jonka jokainen Web-sivu on luonut toiselle verkkosivulle, mikä tarkoittaa, että IndexedDB:lle Safari ei noudata saman alkuperän käytäntöä kunnolla.

Vaikka muille verkkosivuille luodut IndexedDB:n varjokopiot ovat tyhjiä, niillä on silti sama nimi kuin alkuperäisen verkkosovelluksen luomalla tietokannalla, joka voi vuotaa yksityisiä tietoja. Pelkästään tietokannan läsnäolo kertoo muille verkkosivuille, että olet käynyt toisella verkkosivustolla, esimerkiksi Netflix IndexedDB:n läsnäolo voi kertoa Amazonille, että olet Netflix-käyttäjä. Vielä pahempaa on kuitenkin, että tietokannan nimi voi vuotaa valtuustietosi. Google-sovellusten (kuten Gmail tai YouTube) tietokannan nimi sisältää esimerkiksi Google-tunnuksesi, jota voidaan käyttää julkisesti saatavilla oleviin tietoihisi, kuten profiilikuvaasi.

Vika oli FingerprintJS löysi ja raportoi 28. marraskuuta, mutta toistaiseksi Apple ei ole ryhtynyt toimiin.

Voit testata ongelmaa FingerprintJS:n proof of concept -sivustolla tätä, joka tarkistaa, oletko käynyt 30 eri suurella verkkosivustolla äskettäin.

MacOS-käyttöjärjestelmässä käyttäjät voivat ja niiden pitäisi käyttää vaihtoehtoista selainta, mutta iOS:ssä kaikki selaimet käyttävät Safari-verkkomoottoria, mikä tarkoittaa, että kaikilla iPhone-käyttäjillä ei ole mitään vaikutusta, paitsi lopettaa selaimen käyttö puhelimessaan.

Katso FingerprintJS:n selitysvideo alta:

kautta Verge