Bug Browser Safari Apple yang Belum Ditambal Memungkinkan Pelacakan Pengguna Lintas Situs

  • Whatsapp
Bug Browser Safari Apple yang Belum Ditambal Memungkinkan Pelacakan Pengguna Lintas Situs
Bug Browser Safari Apple yang Belum Ditambal Memungkinkan Pelacakan Pengguna

News.nextcloud.asia –

Bug perangkat lunak yang diperkenalkan dalam implementasi API IndexedDB Apple Safari 15 dapat disalahgunakan oleh situs web jahat untuk melacak aktivitas online pengguna di browser web dan lebih buruk lagi, bahkan mengungkapkan identitas mereka.

Kerentanan, dijuluki Kebocoran DB Terindeks, diungkapkan oleh perusahaan perangkat lunak perlindungan penipuan FingerprintJS, yang melaporkan masalah kepada pembuat iPhone pada 28 November 2021.

IndexedDB adalah antarmuka pemrograman aplikasi JavaScript (API) tingkat rendah yang disediakan oleh browser web untuk mengelola Basis data NoSQL objek data terstruktur seperti file dan blob.

Pencadangan GitHub Otomatis

“Seperti kebanyakan solusi penyimpanan web, IndexedDB mengikuti kebijakan asal yang sama,” Mozilla catatan dalam dokumentasinya dari API. “Jadi, meskipun Anda dapat mengakses data yang disimpan dalam suatu domain, Anda tidak dapat mengakses data di seluruh domain yang berbeda.”

Asal yang sama adalah mekanisme keamanan dasar yang memastikan bahwa sumber daya diambil dari yang berbeda asal usul — yaitu, a kombinasi skema (protokol), host (domain), dan nomor port URL — diisolasi satu sama lain. Ini secara efektif berarti bahwa “http[:]//contoh[.]com/” dan “https[:]//contoh[.]com/” tidak memiliki asal yang sama karena menggunakan skema yang berbeda.

Dengan membatasi bagaimana skrip yang dimuat oleh satu asal dapat berinteraksi dengan sumber daya dari asal lain, idenya adalah untuk mengasingkan skrip yang berpotensi berbahaya dan mengurangi potensi vektor serangan dengan mencegah situs web jahat menjalankan kode JavaScript arbitrer untuk membaca data dari domain lain, katakanlah, sebuah layanan email.

Namun tidak demikian halnya dengan cara Safari menangani API IndexedDB di Safari di iOS, iPadOS, dan macOS.

“Di Safari 15 di macOS, dan di semua browser di iOS dan iPadOS 15, API IndexedDB melanggar kebijakan asal yang sama,” Martin Bajanik dikatakan dalam sebuah tulisan. “Setiap kali situs web berinteraksi dengan database, database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama.”

Mencegah Pelanggaran Data

Konsekuensi dari pelanggaran privasi ini adalah memungkinkan situs web untuk mempelajari situs web lain yang dikunjungi pengguna di tab atau jendela yang berbeda, belum lagi mengidentifikasi secara tepat pengguna di layanan layanan Google seperti YouTube dan Google Kalender karena situs web ini membuat basis data IndexedDB yang menyertakan ID Pengguna Google yang diautentikasi, yang merupakan pengenal internal yang secara unik mengidentifikasi satu akun Google.

“Ini tidak hanya menyiratkan bahwa situs web yang tidak tepercaya atau berbahaya dapat mempelajari identitas pengguna, tetapi juga memungkinkan menautkan beberapa akun terpisah yang digunakan oleh pengguna yang sama,” kata Bajanik.

Lebih buruk lagi, kebocoran juga mempengaruhi Penjelajahan Pribadi mode di Safari 15 jika pengguna mengunjungi beberapa situs web berbeda dari dalam tab yang sama di jendela browser. Kami telah menghubungi Apple untuk komentar lebih lanjut, dan kami akan memperbarui cerita jika kami mendengarnya kembali.

“Ini adalah bug besar,” advokat pengembang untuk Google Chrome Jake Archibald tweeted. “Di OSX, pengguna Safari dapat (sementara) beralih ke browser lain untuk menghindari kebocoran data di seluruh sumber. Pengguna iOS tidak punya pilihan seperti itu, karena Apple memberlakukan larangan pada mesin browser lain.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.