VIDEO | Tähelepanu, Apple’i toodete kasutajad: viga Safari brauseris paljastab võõrastele silmadele veebilehtede sirvimisajaloo

Sisuliselt annab viga suvalisele IndexedDB-d kasutavale veebilehele juurdepääsu brauseri kasutamise seansi ajal teiste veebilehtede tekitatud IndexedDB andmebaaside nimedele. Viga võib lubada ühel veebilehel seirata teisi veebilehti, mida kasutaja külastab teistes sakkides või akendes, kuna andmebaaside nimed on sageli ainulaadsed ja veebilehe-spetsiifilised. Normaalses olukorras peaks veebilehtedel olema juurdepääs ainult enda tekitatud IndexedDB andmebaasidele, vahendab MacRumors.com.

Mõnel puhul rakendavad veebilehed IndexedDB andmebaaside nimedes kordumatuid kasutajaspetsiifilisi tunnuseid. Näiteks YouTube tekitab andmebaase, mille nimed sisaldavad kasutaja tuvastatud kasutajatunnust Google User ID. Seda tunnust saab FingerprintJS-i osutusel koos Google'i rakendusliidesega kasutada kasutaja isikuandmete, nt profiilipildi kogumiseks.

Viga mõjutab Apple'i avatud lähtekoodiga brauserimootorit WebKit kasutavaid uuemaid brauseriversioone, sh Safari 15 Mac'idele ning kõiki iOS 15 ja iPad 15 versioone. Lisaks mõjutab viga ka kolmandate osapoolte brausereid nagu Chrome iOS 15-l ja iPadOS 15-l, kuna Apple nõuab, et kõik iPhone'il ja iPad'il töötavad brauserid kasutaksid WebKit'i. FingerprintJS on avaldanud programmiveast demovideo, mis näitab, et viga ei mõjuta vanemaid brausereid nagu Safari 14 Mac'idele.

„Taustal töötav ja pidevalt IndexedDB rakendusliideselt pöördutavate andmebaaside kohta teavet päriv sakk või aken võib reaalajas välja nuhkida, milliseid teisi veebilehti kasutaja külastab," selgitas FingerprintJS-i blogipostitus. „Teine võimalus on, et veebilehed saavad avada mis tahes veebilehe IFrame'is või hüpikaknas, käivitades sellega IndexedDB põhise lekke selle konkreetse veebilehe kohta."

Veast mõjutatud Safari versioonides ei kaitse selle eest eriti ka privaatse sirvimise režiimi kasutamine. Privaatrežiimis sakk ei saa küll jälgida teistes privaatsetes või avalikes sakkides toimuvat, kuid kui kasutaja külastab mitut veebilehte samas privaatsakis, lekitatakse kõik andmebaasid, millega need veebilehed suhtlevad, kõigile järgmiseks külastatavatele veebilehtedele, täpsustab Mashable.com.

Kasutajad peavad nüüd ootama, kuni Apple otsustab tarkvaravärskenduse kaudu vea likvideerida. Seni võivad Safari 15 kasutajad võtta Mac'il kasutusele mõne muu brauseri, kuid iPhone'il ja iPad'il pole see võimalik, kuna WebKit'i põhine viga nendes seadmetes mõjutab kõiki brausereid.

Veast anti WebKit'i veaseiresüsteemile WebKit Bug Tracker teada juba 28. novembril.