באג הפרטיות העיקרי של Apple Safari פירושו שכל אתרי אינטרנט יכולים לגשת למזהה Google שלך, לנתונים פרטיים אחרים

אם אכפת לך מהפרטיות שלך אתה מתכוון שצריך להניח את האייפון שלך, לאחר באג יישום רציני בספארי פירושו שכל אתר יכול לקרוא חלק מהנתונים הפרטיים שלך והיסטוריית הגלישה האחרונה, גם בעת שימוש במצב גלישה פרטית.

הבעיה היא עם האופן שבו ספארי מיישם את IndexedDB, מסד נתונים מבוסס דפדפן בשימוש נפוץ על ידי אפליקציות אינטרנט. רוב הדפדפנים יוצרים מופע חדש של IndexedDB עבור כל אתר אינטרנט, שאליו ניתן לגשת רק מאתר זה.

עם זאת, Safari יוצר גרסאות ריקות של IndexedDB שנוצרו על ידי כל דף אינטרנט בכל דף אינטרנט אחר, כלומר עבור IndexedDB Safari אינו מכבד את מדיניות אותו המקור כראוי.

למרות שעותקי הצל של IndexedDB שנוצרו עבור דפי אינטרנט אחרים ריקים, הם עדיין בעלי שם זהה למסד הנתונים בפועל שנוצר על ידי אפליקציית האינטרנט המקורית, שיכול לדלוף מידע פרטי. עצם הנוכחות של מסד הנתונים תאפשר לדפי אינטרנט אחרים לדעת שביקרת באתר אחר, לדוגמה, הנוכחות של Netflix IndexedDB יכולה לומר לאמזון שאתה משתמש בנטפליקס. עם זאת, גרוע מכך, שם מסד הנתונים עשוי לדלוף את האישורים שלך. השם של מסד הנתונים עבור אפליקציות Google (כגון Gmail או YouTube) כולל את ה-GoogleID שלך למשל, שבו ניתן להשתמש כדי לגשת למידע הזמין לציבור שלך, כגון תמונת הפרופיל שלך.

הבאג היה התגלה ודווח על ידי FingerprintJS ב-28 בנובמבר, אך עד כה אפל לא נקטה בשום פעולה.

אתה יכול לבדוק את הנושא באתר הוכחת הרעיון של FingerprintJS כאן, שיבדוק אם ביקרת לאחרונה ב-30 אתרים מרכזיים שונים.

ב-macOS משתמשים יכולים וצריכים להשתמש בדפדפן חלופי, אבל ב-iOS כל הדפדפנים משתמשים במנוע האינטרנט של Safari, כלומר לכל משתמשי האייפון אין מניעה מלבד להפסיק להשתמש בדפדפן בטלפון שלהם.

צפו בסרטון ההסבר של FingerprintJS למטה:

באמצעות את Verge