Problemi në Safari ka mundësi të zbulojë historinë e shfletimit dhe të dhënat personale të njerëzve
Shfletuesi Safari i Apple ka një dobësi që mund të ekspozojë historinë e shfletimit dhe informacionin personal të përdoruesve. Defekti, i cili u prezantua në Safari 15, siç raportohet nga FingerprintJS, erdhi nga API-ja e bazës së të dhënave të indeksuar, e cila është pjesë e WebKit të Apple. Kjo API përdoret për të ruajtur të dhënat në faqet e internetit që përdoruesit kanë vizituar, në mënyrë që ato të mund të ngarkohen më shpejt kur të kthehen.
IndexedDB duhet të ndalojë ndërveprimin e të dhënave nga një origjinë me të dhënat nga origjina të tjera. Por defekti do të thotë që nuk po ndodhte.
“Në Safari 15 në macOS dhe në të gjithë shfletuesit në iOS dhe iPadOS 15, API IndexedDB po shkel të njëjtën politikë të origjinës. Sa herë që një faqe interneti ndërvepron me një bazë të dhënash, një bazë të dhënash e re (boshe) me të njëjtin emër krijohet në të gjitha kornizat e tjera aktive, skedat dhe dritaret brenda të njëjtit sesion të shfletuesit”, tha inxhinieri softuer Martin Bajanik.
Kjo, vazhdon z. Bajanik, “lejon faqet e internetit arbitrare të mësojnë se cilat faqe interneti viziton përdoruesi në skeda apo dritare të ndryshme. Kjo është e mundur sepse emrat e bazës së të dhënave janë zakonisht unike dhe specifike për uebsajtin”. Ndonjëherë, kjo përfshin informacione unike specifike të përdoruesit që do t’i lejonin njerëzit të identifikoheshin saktësisht pasi të përdornin YouTube, Google Calendar ose Google Keep, për shembull.
“Të gjitha këto faqe interneti krijojnë baza të dhënash që përfshijnë ID-në e përdoruesit të vërtetuar të Google dhe në rast se përdoruesi është i regjistruar në shumë llogari, krijohen baza të të dhënave për të gjitha këto llogari”, thotë ai.
Rrjedhjet nuk kërkojnë veprim specifik të përdoruesit – kështu që përdoruesi mund të bëjë pak për ta ndalur atë – dhe nga 1000 faqet e internetit më të vizituara, mbi 30 ishin të cenueshme për shkak të këtij defekti, duke përfshirë Instagram, Netflix, Twitter dhe Xbox.
Për fat të keq, përdoruesit e përdoruesve të Safari, iPadOS dhe iOS nuk mund ta ndalojnë këtë pa marrë “masa drastike”, siç është bllokimi i të gjithë JavaScript – një lëvizje që fatkeqësisht do ta bënte shfletimin modern të internetit “të papërshtatshëm”.
Për më tepër, ndërsa përdoruesit e Safari në Mac mund të përdorin një shfletues tjetër, të gjithë shfletuesit në iOS dhe iPadOS përdorin WebKit të Apple – duke përfshirë konkurrentët si Google Chrome – duke e bërë të pamundur kalimin.
Apple nuk iu përgjigj një kërkese për koment nga The Independent përpara kohës së publikimit. FingerprintJS raportoi rrjedhjen në WebKit Bug Tracker më 28 nëntor 2021, por Apple nuk e ka përditësuar ende Safari.