Yeni Yamasız Apple Safari Tarayıcı Hatası, Siteler Arası Kullanıcı İzlemeye İzin Veriyor
Apple Safari 15'in IndexedDB API uygulamasında tanıtılan bir yazılım hatası, kötü niyetli bir web sitesi tarafından, kullanıcıların web tarayıcısındaki çevrimiçi etkinliklerini izlemek ve daha da kötüsü, kimliklerini ortaya çıkarmak için kötüye kullanılabilir.
IndexedDB Leaks olarak adlandırılan güvenlik açığı, sorunu 28 Kasım 2021'de iPhone üreticisine bildiren dolandırıcılık koruma yazılımı şirketi FingerprintJS tarafından açıklandı.
IndexedDB, dosyalar ve bloblar gibi yapılandırılmış veri nesnelerinden oluşan bir NoSQL veritabanını yönetmek için web tarayıcıları tarafından sağlanan düşük seviyeli bir JavaScript uygulama programlama arabirimidir (API).
Mozilla, API belgelerinde "Çoğu web depolama çözümü gibi, IndexedDB de aynı kaynak ilkesini izliyor" diyor. "Dolayısıyla, bir etki alanındaki depolanmış verilere erişebilirken, farklı etki alanlarındaki verilere erişemezsiniz."
Aynı Köken, farklı kökenlerden alınan kaynakların - yani şema (protokol), ana bilgisayar (etki alanı) ve bir URL'nin bağlantı noktası numarasının bir kombinasyonu - birbirinden izole edilmesini sağlayan temel bir güvenlik mekanizmasıdır. Bu, "http[:]//example[.]com/" ve "https[:]//example[.]com/" öğelerinin farklı şemalar kullandıkları için aynı kaynaktan olmadığı anlamına gelir.
Bir kaynak tarafından yüklenen bir komut dosyasının başka bir kaynaktan bir kaynakla nasıl etkileşime girebileceğini kısıtlayarak, fikir, potansiyel olarak kötü amaçlı komut dosyalarını ayırmak ve sahte bir web sitesinin başka bir etki alanından verileri okumak için rastgele JavaScript kodu çalıştırmasını engelleyerek olası saldırı vektörlerini azaltmaktır, örneğin, bir e-posta hizmeti.
Ancak Safari'nin iOS, iPadOS ve macOS genelinde Safari'de IndexedDB API'sini nasıl kullandığıyla ilgili durum böyle değil.
Martin Bajanik bir yazısında, "MacOS'ta Safari 15'te ve iOS ve iPadOS 15'teki tüm tarayıcılarda, IndexedDB API aynı kaynak politikasını ihlal ediyor" dedi. "Bir web sitesi bir veritabanıyla her etkileşime girdiğinde, aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturulur."
Bu gizlilik ihlalinin bir sonucu, web sitelerinin bir kullanıcının farklı sekmelerde veya pencerelerde ziyaret ettiği diğer web sitelerini öğrenmesine izin vermesidir; bu web siteleri, aşağıdakileri içeren IndexedDB veritabanlarını oluştururken YouTube ve Google Takvim gibi Google hizmetleri hizmetlerindeki kullanıcıları tam olarak tanımlamaktan bahsetmiyor. tek bir Google hesabını benzersiz şekilde tanımlayan dahili bir tanımlayıcı olan kimliği doğrulanmış Google Kullanıcı Kimlikleri.
Bajanik, "Bu, yalnızca güvenilmeyen veya kötü niyetli web sitelerinin bir kullanıcının kimliğini öğrenebileceği anlamına gelmez, aynı zamanda aynı kullanıcı tarafından kullanılan birden fazla ayrı hesabın birbirine bağlanmasına da izin verir." dedi.
Daha da kötüsü, bir kullanıcının tarayıcı penceresindeki aynı sekmeden birden fazla farklı web sitesini ziyaret etmesi durumunda sızıntı, Safari 15'teki Özel Tarama modunu da etkiler.
Google Chrome'un geliştirici savunucusu Jake Archibald, "Bu çok büyük bir hata" diye tweet attı. "OSX'te Safari kullanıcıları, verilerinin farklı kaynaklardan sızmasını önlemek için (geçici olarak) başka bir tarayıcıya geçebilirler. iOS kullanıcılarının böyle bir seçeneği yok çünkü Apple diğer tarayıcı motorlarını yasaklıyor."
Kaynak: https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.