Bug di browser Safari 15 disebut dapat membocorkan aktivitas penelusuran pengguna dan mengungkap berbagai informasi pribadi yang dilampirkan ke akun Google. Kerentanan ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemrograman aplikasi yang menyimpan data di browser pengguna.
Dijelaskan FingerprintJS, IndexedDB mematuhi kebijakan asal yang sama, yang membatasi interaksi dengan data yang dikumpulkan di sumber lain. Hanya situs web yang menghasilkan data yang dapat mengaksesnya.
Sebagai contoh, jika pengguna membuka akun email di satu tab kemudian membuka halaman web berbahaya di tab lain, kebijakan privasi dapat mencegah halaman berbahaya melihat dan mencampuri email pengguna.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan bahwa database kosong dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama.
Ini berarti situs web lain dapat melihat basis data yang dibuat di situs lain, yang dapat berisi detail identitas pengguna.
FingerprintJS mencatat situs yang menggunakan akun Google seperti YouTube, Google Kalender, dan Google Keep, semuanya menghasilkan basis data dengan ID Pengguna Google ada di dalam namanya.
ID Pengguna Google memungkinkan Google mengakses informasi yang tersedia untuk umum, seperti gambar profil Anda, yang dapat diekspos bug Safari ke situs web lain.
FingerprintJS membuat demo bukti konsep yang dapat Anda coba jika Anda memiliki Safari 15 dan yang lebih baru di Mac, iPhone, atau iPad Anda.
Demo menggunakan kerentanan IndexedDB browser untuk mengidentifikasi situs yang telah Anda buka (atau buka baru-baru ini), dan menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengambil informasi dari UserID Google Anda.
Sayangnya, tidak banyak yang dapat Anda lakukan untuk mengatasi masalah ini, karena FingerprintJS mengatakan bug tersebut juga memengaruhi mode Private Browsing di Safari.
The Verge telah menghubungi Apple untuk meminta tanggapan terkait temuan tersebut, namun hingga kini Apple belum merspons.
Dikutip 9to5mac, FingerprintJS melaporkan dugaan bug yang bisa bocorkan akun Google ke WebKit Bug Tracker pada 28 November, tetapi hingga kini belum ada pembaruan di Safari.
Dilansir dari: cnnindonesia.com
