Det er oppdaget en sårbarhet i Apple-nettleseren Safari som potensielt kan lekke både surfehistorikken din og data knyttet til Google-kontoen din. Det rapporterer nettstedet 9to5mac.
Sårbarheten ble avdekket og omtalt av FingerprintJS, et selskap som spesialiserer seg på løsninger for verifisering av brukere og transaksjoner på nettet.
Problematisk API
Selskapet har laget en egen demo av sårbarheten i aksjon, du kan sjekke den ut på denne siden.
I et blogginnlegg forklares det at sårbarheten ligger i en API (programmeringsgrensesnitt) ved navn IndexedDB, som i korte trekk brukes til å lagre store mengder data i nettleseren.
IndexedDB (indexed database) har en innebygget sikkerhetsmekanisme kalt «same origin», som fungerer ved å forhindre at dokumenter og skript som lastes fra ett sted – for eksempel en protokoll eller et domene – samhandler med databaser fra andre steder.
Det FingerprintJS oppdaget, er at implementeringen av IndexedDB-API-en i Safari 15 på macOS og i samtlige nettlesere på iOS og iPadOS 15 har ført til at denne sikkerhetsmekanismen simpelthen ikke fungerer. Dette åpner for potensielt farlige lekkasjer.
– Det faktum at databasenavn lekker på tvers av ulike opprinnelsessteder, er et åpenbart personvernbrudd. Det lar arbitrære nettsider finne ut hvilke nettsider brukeren besøker i forskjellige faner eller vinduer, skriver selskapet.
Rammer mange populære nettsider
FingerprintJS påpeker at databasenavn som oftest er unike og spesifikke for hvert nettsted, og noen nettsider benytter bruker-spesifikke identifikatorer i databasenavnene – som innebærer at autentiserte brukere kan identifiseres på en presis måte.
Eksempler på slike nettsider er Youtube, Google Calendar og Google Keep, som alle genererer databaser med den autentiserte Google-ID-en. Dersom man er logget inn på flere kontoer, lages det databaser for alle kontoene.
– Ikke bare betyr dette at upålitelige eller ondsinnede nettsider kan avdekke en brukers identitet, men det legger også til rette for å lenke sammen flere separate kontoer som brukes av den samme brukeren, heter det i blogginnlegget.
FingerprintJS kom frem til at 30 av nettsidene på Alexas topp 1000-liste bruker IndexedDB og dermed er rammet av sårbarheten, men selskapet tror det reelle antallet nettsider er langt høyere.
Problemet ble rapportert til Apple den 28. november, og i en oppdatering på mandag opplyses det at Apples ingeniører begynte å jobbe med saken på søndag. En endelig fiks i form av en Safari-oppdatering er i skrivende stund ennå ikke på plass, og det finnes ifølge FingerprintJS ingen andre gode løsninger på problemet for sluttbrukere.
Mer informasjon finner du i selskapets bloggartikkel.
Nasjonalt cybersikkerhetssenter: Forsøk på å utnytte Log4j-sårbarheten i Norge