Safari 15 Bug’ı Tarayıcı Geçmişinizi ve Kişisel Bilgilerinizi Sızdırabilir

Safari 15’deki bir bug tarayıcı geçmişinizi ve aynı zamanda Google hesabınıza bağlı bazı kişisel bilgilerinizi sızdırabilir. FingerprintJS’in bulgularına göre, tarayıcıdaki açık Apple’ın IndexedDB’yi uygulama şeklinden kaynaklanıyor. IndexedDB tarayıcınızda veri depolayan bir programlama arayüzü.

FingerprintJS’in açıklamasına göre IndexedDB bir kökenin başka bir kökenden topladığı veriyle etkileşim kurmasını engelliyor. Söz gelimi bir sekmede mail adresinizi, bir başka sekmede ise saldırgan bir web sitesi açtığınızda IndexedDB her sitenin sadece kendi yarattığı veriye ulaşımını sağlıyor. Böylece saldırgan site mail adresinizi görüntüleyemiyor ve etikleyemiyor.

This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) January 16, 2022

Apple’ın IndexedDB API’ını Safari 15’de uygulama şekli ise “aynı-köken” kuralını bozuyor. Websiteleri Safari’de bir veriyle etkileştiğinde, bütün sekmeler ve penecerelerde yeni, boş, aynı isimli bir veri bankası oluşturuluyor. Bu da başka sitelerin bu verilere ulaşıp okuyabileceği anlamına geliyor.

FingerpirintJS’e göre şu an mevcut açıktan etkilenen 30 popüler site bulunmakta. Bu sitelerin arasında Instagram, Netfilx, Twitter ve Xbox bulunuyor.

Maalesef şu an açık konusunda yapılabilecek pek bir şey yok. Tabii macOS’de başka bir tarayıcı kullanabilirsiniz. Fakat Apple’ın iOS’de 3. parti tarayıcı motorlarına koyduğu engel sebebiyle, öteki tarayıcılar da muhtemelen aynı açıktan etkileniyorlar.

Açığın raporlandığı 28 kasım tarihinden beri ise Safari’de bir güncelleme olmadı.

Kaynak: theverge.com