Apple má vážny problém. Chyba v prehliadačoch Safari 15 môže viesť k úniku informácií o prehliadaných stránkach, ale i osobných údajoch. Na tému upozornil portál TheVerge.

Nebezpečná chyba

Ako píše portál MacRumors, celý problém spočíva v nesprávnej implementácii IndexedDB, aplikačného rozhrania ukladajúceho údaje v prehliadači. IndexedDB sa riadi dôležitým bezpečnostným konceptom SOP (same-origin policy), ktorý bráni rôznym skriptom na jednej stránke pristupovať k citlivým údajom nachádzajúcim sa na inej webovej stránke otvorenej na novej karte.

Apple

Inými slovami SOP, obmedzuje interakciu jedného zdroja s údajmi zhromaždenými na iných zdrojoch, to znamená, že ak na jednej karte mám otvorenú stránku a na druhej svoj e-mail, SOP zabráni skriptu zhromažďovať citlivé informácie z môjho mailu.

Za normálnych okolností tak majú webové stránky prístup len k svojim vlastným databázam IndexedDB. Zistená chyba však umožňuje jednej webovej lokalite sledovať ďalšie stránky, ktoré má používateľ otvorené na iných kartách.

Presnejšie, webové stránky môžu vidieť názvy databáz, ktoré v tvojom prehliadači vytvorili iné stránky na iných kartách alebo v novom okne. Niektoré stránky od Google pritom v názve týchto databáz využívajú špecifický identifikátor používateľa (Google user ID). Tento identifikátor umožňuje Gmailu alebo YouTube pristupovať k tvojim verejným informáciám ako je meno alebo profilová fotografia, pričom chyba v Safari spôsobuje, že prístup k nim teraz majú aj ďalšie stránky.

Ak máš Safari 15 na svojom Macu, iPhone alebo iPade, problém sa dotýka aj teba. Portál FingerprintJS, ktorý ako prvý upozornil na túto chybu, ponúka aj ukážku tohto kritického omylu.

safarileaks.com

Problém sa týka aj prehliadania v anonymnom režime, takže s touto chybou sa, zatiaľ, budeš musieť jednoducho zmieriť. Ide tak o ďalšiu bezpečnostnú chybu, ktorú bude musieť Apple veľmi rýchlo odstrániť.

Na Macoch zatiaľ môžeš využívať iné prehliadače ako Safari, na iOS ti však ani takáto zmena nepomôže, keďže aj tie od iných firiem musia na týchto zariadeniach používať rovnaké jadro.

Ďalšie dve kritické chyby

Pred pol rokom iPhony sužovali dve kritické chyby, ktoré sa už našťastie podarilo odstrániť. Prvú objavila bezpečnostná firma Citizen Lab a zameriava sa na zraniteľnosť, pri ktorej je do iPhonu možné nainštalovať spyware a sledovať používateľa. Ide o chybu, ktorú mohol zneužívať aj známy špionážny systém Pegasus využívaný viacerými vládami. Takýmto spôsobom môže byť škodlivý kód nasadený napríklad do iPhonov žurnalistov či politikov a to aj bez toho, aby obeť útoku o ňom vôbec vedela.

Druhým kritickým problémom je chyba, ktorá umožňovala prostredníctvom otvorenia webu spustiť škodlivý kód na zariadeniach Apple.