FingerprintJS mendedahkan kerentanan pada pelayar Safari 15 yang agak berbahaya kerana melibatkan data pengguna. Kerentanan ini membolehkan laman web yang dibuka pada Safari mengambil data daripada laman web lain yang dibuka pada tab berasingan.
Sebagai contoh, anda mempunyai 5 tab dalam Safari termasuk tab Google Keep, Wiser.my, Bloomberg, Youtube dan sebuah laman web judi yang tidak selamat. Kesemua maklumat anda daripada web-web ini boleh diambil oleh mana-mana laman web yang dibuka. Data akaun Google, YouTube, sejarah laman web dan maklumat peribadi daripada laman web yang dibuka tadi terdedah untuk dikutip oleh mana-mana laman web.
Sekalipun anda menggunakan Private Browsing, data anda masih sama berisiko untuk dicuri jelas FingerprintJSĀ .
Kerentanan ini berpunca daripada IndexedDB, sebuah API yang mengumpul data pada pelayar. IndexedDB asasnya membataskan interaksi antara web yang dibuka dengan memastikan setiap laman web mengutip data yang dijananya sendiri sahaja. Dengan ini, sebuah laman web yang berbahaya tidak dapat mencuri data daripada sebuah lagi tab yang anda buka.
Namun, IndexedDB pada Safari 15 nampaknya tidak mematuhi polisi ini. Buat masa ini, 30 laman popular yang terjejas termasuk Google, Instagram, Netflix, Twitter, Xbox namun dipercayai jauh lebih banyak turut sama terkesan.
Malangnya, sebagai pengguna tidak ada apa yang anda boleh lakukan melainkan menggunakan pelayar selain Safari bagi pengguna Mac sementara menunggu Apple melepaskan kemas kini untuk menyelesaikan isu ini.
Tetapi, FingerprintJS berkata bahawa pengguna iOS dan iPadOS malangnya tidak dapat lari daripada kerentanan ini kerana ia menjejaskan bukan sahaja Safari malah kesemua pelayar pada peranti mereka.
Anda boleh mencuba demonstrasi bagaimana kerentanan ini berjalan di https://safarileaks.com.
Sumber: FingerprintJS
Baca juga: