Blog FingerprintJS mengumumkan temuan exploit yang memungkinkan penyerang untuk memperoleh riwayat peramban terbaru, dan bahkan sejumlah informasi terkait dengan akun Google.
Mengutip Engadget, exploit ini ditemukan pada Safari 15 di seluruh platform yang mendukung serta peramban pihak ketiga di iOS 15 dan iPadOS 15. Kerangka kerja IndexedDB yang digunakan untuk menyimpan data pada banyak peramban, melanggar sejumlah kebijakan asal yang sama atau same-origin.
Kebijakan ini bertujuan mencegah dokumen dan skrip dari satu lokasi, seperti domain atau protokol, berinteraksi dengan konten dari lokasi lain, memungkinkan situs kode yang tepat mendeduksi informasi Google dari pengguna yang terhubung, juga riwayat dari tab dan jendela yang terbuka.
Celah ini hanya mengompromikan nama dari database alih-alih konten. Namun, hal ini masih cukup untuk memungkinkan pemilik situs berbahaya menghimpun username Google, menemukan foto profil dan mempelajari berbagai informasi soal pengguna.
Riwayat juga dapat dimanfaatkan untuk melengkapi informasi terkait situs yang pengguna sukai. FingerprintJS menyebut bahwa penggunaan peramban versi pribadi disebut tidak mampu menjadi solusi untuk exploit ini.
Selain itu, FingerprintJS juga mengaku telah melaporkan permasalahan ini kepada Apple pada tanggal 28 November lalu, namun Apple belum memberikan tanggapan dengan menggulirkan patch keamanan terkait kebijakan same-origin ini.
Hingga saat ini, satu-satunya solusi diperkirakan hanya dengan menggunakan peramban pihak ketiga di perangkat Mac atau memblokir seluruh JavaScript, meski keduanya bukan opsi yang harus dilakukan.
Dilansir dari: medcom.id
