Każdy może podejrzeć twoją historię przeglądania. Safari z poważną usterką. Aktualizacja w drodze
Przeglądarka internetowa Apple’a poinformuje każdą witrynę i aplikację webową o ostatnio przeglądanych witrynach przez użytkownika, a nawet o nazwie jego Konta Google. Każdą, która wie, jak o to zapytać.
Aktualizacja (21 stycznia 2022 r.): Apple w ekspresowym tempie przygotował łatkę usuwającą błąd. Do pierwszych użytkowników, którzy testują oprogramowanie w wersji beta, trafiły już nowe wersje RC systemów iOS, iPadOS i macOS, w których usterka została naprawiona. Spodziewamy się, że po weekendzie stabilna wersja zostanie udostępniona wszystkim posiadaczom sprzętów firmy z Cupertino w ramach aktualizacji typu OTA.
Poniżej oryginalna treść artykułu.
Safari do tej pory uchodziła za jedną z bezpieczniejszych przeglądarek na rynku. To postrzeganie może się jednak zmienić za sprawą bardzo poważnej usterki. Safari na wszystkie systemy, na które jest wydawane (iOS, iPadOS, macOS), pozwala na łatwe przejrzenie historii odwiedzanych witryn i aplikacji webowych przez osobę postronną. Wystarczy zwabić użytkownika do odwiedzenia odpowiednio spreparowanej witryny internetowej. Należy przy tym podkreślić, że owa witryna nie będzie zawierać złośliwego oprogramowania. Nie zostanie więc wykryta i zablokowana przez żadne rozwiązanie antywirusowe.
Czytaj też:
Problemem jest bowiem to, w jaki sposób przeglądarka Apple’a tworzy podręczne bazy danych dla aplikacji webowych. Apple zdecydował się na zupełnie inną metodę niż powszechnie stosowana. Jak się okazuje, fundamentalnie wadliwą. Problem jest na tyle poważny, że podejrzeć można nawet nazwy kont internetowych, do których podglądany użytkownik jest zalogowany. Nawet w oknie prywatnym.
Safari udostępnia historię przeglądania wszystkim witrynom. Niechcący. Chodzi o mechanizm IndexedDB.
IndexedDB to tworzona przez przeglądarki na potrzeby witryn i aplikacji webowych podręczna baza danych. Większość przeglądarek tworzy izolowane IndexedDB dla każdej z witryn i aplikacji, a poszczególne bazy nie mogą wchodzić między sobą w interakcję. Tymczasem Safari z jakiegoś względu tworzy IndexedDB o nazwie nowootwartej witryny i udostępnia ją wszystkim otwartym witrynom i aplikacjom. Owe witryny nie mają dostępu do zawartości tej bazy danych, ale bez problemu mogą odczytać jej nazwę.
Wystarczy więc, by dana witryna internetowa lub aplikacja sczytała nazwy baz, by poznać historię przeglądania użytkownika. Co więcej, nazwy IndexedDB miały nigdy nie być udostępniane poza piaskownicę przeglądarki internetowej, więc ich nazwy niejednokrotnie zdradzają dodatkowe informacje. Dla przykładu aplikacje webowe Google’a informują w nazwie o identyfikatorze Konta Google użytkownika, co w efekcie zapewnia możliwość wścibskim witrynom poznanie nazwy tegoż konta.
Apple na razie nie odniósł się do problemu. Użytkownikom komputerów Mac zdecydowanie polecam tymczasową (lub permanentną) przesiadkę na inną przeglądarkę (na przykład Microsoft Edge lub Firefox) do czasu usunięcia problemu. Użytkownicy iPhone’ów i iPadów niestety nie mogą się w ten sposób ratować, bowiem systemy tych urządzeń, mimo upływu lat, nadal nie obsługują alternatywnych przeglądarek internetowych - te dostępne w App Store to tylko nakładki interfejsu na Safari. Przetestować lukę użytkownicy mogą na specjalnie przygotowanej przez jej znalazców witrynie.
