Safari 15 kullananlar dikkat! İnternet geçmişinizi açığa çıkarabilir
Safari 15'te ortaya çıkan bir açığın kullanıcıların Google kimliğine özel ayrıntıları ortaya çıkarabileceği tespit edildi. Söz konusu hata 28 Kasım'da bildirilse de Safari'de bir güncelleme yapılmadı. Uzmanlar kullancıların bu durumdan etkilenmemesi içi farklı tarayıcı kullanmalarını öneriyor.
Apple'ın tarayıcı uygulaması Safari 15'te ortaya çıkan bir hatanın kullanıcıların internet geçmişin açığa çıkarabileceği tespit edildi. 9to5Mac'in haberine göre söz konusu hata Google hesabına eklenen bazı verileri sızdırabilir.
Bir tarayıcı parmak izi ve dolandırıcılık algılama hizmeti olan FingerprintJS'in yaptığı tespittei açığı, Apple'ın tarayıcıda veri depolayan bir uygulama programlama arabirimi (API) olan IndexedDB'yi uygulamasıyla ilgili bir sorundan kaynaklandığı yer aldı.
FingerprintJS tarafından detaylandırıldığı gibi IndexedDB, bir kaynağın diğer kaynaklarda toplanan verilerle etkileşime girmesini kısıtlayan aynı kaynak politikasına uyar. Esas olarak yalnızca veri oluşturan web sitesi buna erişebilir. Örneğin, e-posta hesabınızı bir sekmede açarsanız ve ardından başka bir sekmede kötü amaçlı bir web sayfası açarsanız, aynı kaynak politikası kötü amaçlı sayfanın e-postanızı görüntülemesini ve buna karışmasını engeller.
FingerprintJS, Apple'ın Safari 15'teki IndexedDB API uygulamasının aslında aynı kaynak ilkesini ihlal ettiğini ortaya çıkardı. Bir web sitesi Safari'deki bir veritabanıyla etkileşime girdiğinde, aynı tarayıcı oturumu içindeki diğer tüm etkin çerçevelerde, sekmelerde ve pencerelerde aynı ada sahip yeni (boş) bir veritabanı oluşturuluyor.
Bu, başka web sitelerinin, başka sitelerde oluşturulan ve kimliğinize özel ayrıntıları içerebilecek diğer veritabanlarının adını görebileceği anlamına gelir. FingerprintJS, YouTube, Google Takvim ve Google Keep gibi Google hesabınızı kullanan sitelerin tümünün, adında benzersiz Google Kullanıcı Kimliğiniz bulunan veritabanları oluşturduğuna dikkat çekiyor. Google Kullanıcı Kimliğiniz; Google’ın profil resminiz gibi herkese açık bilgilerinize erişmesine izin veriyor. Safari açığı bunun diğer web sitelerine de gösterilebileceği anlamına geliyor.
FingerprintJS, Mac’inizde, iPhone’unuzda veya iPad’inizde Safari 15 ve sonraki sürümlere sahipseniz deneyebileceğiniz bir kavram kanıtı sunumu oluşturdu. Sunum, açtığınız (veya yakın zamanda açtığınız) siteleri belirlemek için tarayıcının IndexedDB güvenlik açığını kullanıyor ve hatadan yararlanan sitelerin Google Kullanıcı Kimliğinizden bilgileri nasıl alabileceğini gösteriyor. Şu anda yalnızca Instagram, Netflix, Twitter, Xbox gibi hatadan etkilenen 30 popüler siteyi tespit ediyor, ancak bu açık muhtemelen çok daha fazlasını etkiliyor.
FingerprintJS, açığın Safari’deki Özel Tarama modunu da etkilediğini belşrterek, "Şu anda sorunu çözmek için yapabileceğiniz pek bir şey yok. macOS’te farklı bir tarayıcı kullanabilirsiniz, ancak Apple’ın iOS’te üçüncü taraf tarayıcı motorunu kullanmayı kısıtlaması, tüm tarayıcıların bundan etkilendiği anlamına gelir." dedi. Hata'nın Apple'a bildirilmesine rağmen safari'de henüz bir güncelleme yapılmadı.