Serwis 9to5Mac, bazując na odkryciu grupy FingerprintJS, informuje o zadziwiającej luce w oprogramowaniu Apple'a, w wyniku której można odczytać dane dotyczące wykorzystywanych w urządzeniu kont Google. Problemem jest implementacja obsługi API IndexedDB w Safari 15 w macOS oraz całym systemie iOS (niezależnie od tego, z jakiej przeglądarki korzystamy), w efekcie czego zagrożonych jest wielu użytkowników.
Z ustaleń badaczy, że przez błąd w API da się śledzić aktywność użytkownika, a nawet dotrzeć do jego identyfikatora i zdjęcia, także w czasie rzeczywistym. Błąd polega na niewłaściwych odwołaniach do bazy danych w ramach jednej sesji przeglądarki, przez co spreparowana strona jest w stanie odczytać historię odwiedzanych witryn powiązanych z kontami Google, a także ich identyfikatory i zdjęcia użytkowników, co w konsekwencji może prowadzić do dalszych nadużyć. Szczegóły zaprezentowano na krótkim filmie.
Wycieki bez interakcji użytkownika!
Badacze ustalili również, że na próbce 1000 najczęściej odwiedzanych stron według rankingu Alexa, że 30 witryn wykorzystuje opisywane problematyczne API, co prowadzi do wycieków danych pomiędzy stronami nawet bez interakcji użytkownika. Co warto podkreślić, problemu nie ogranicza użycie trybu prywatnego w przeglądarce.
W całej sprawie najciekawsze wydaje się jednak to, że problem został zasygnalizowany firmie Apple w... listopadzie ubiegłego roku. Od tamtego czasu twórcy oprogramowania nie zareagowali jednak na zgłoszenie, w związku z tym badacze zdecydowali się upublicznić informacje o luce. Niestety, problem nie został jeszcze skorygowany.
