Ať už napíšete sebelepší software, vždy je jen otázkou času, než se objeví nějaká ta chyba. Zatímco někdy mohou mít přešlapy vývojářů spíše úsměvný charakter, jindy se jedná o závažné chyby, které ohrožují soukromí uživatelů a jejich osobní údaje. Chyba tohoto typu se objevila v oblíbeném prohlížeči Safari, který je primárně dostupný na zařízeních s macOS a iOS.
Na chybu upozornila služba FingerprintJS, která se zaměřuje na odhalování internetových podvodů. Problém se ukrývá v implementaci API s názvem IndexedDB, jež ukládá údaje v prohlížeči Safari. Na tom by nebylo nic až tak zvláštního, kdyby implementace IndexedDB neporušovala takzvanou same-origin policy, což je mechanismus bránící jedné stránce k přístupu k datům jiných stránek.
This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022
Same-origin policy zamezuje zdroji interagovat s nashromážděnými daty z jiného zdroje – pokud například budete mít v prohlížeči otevřenou jednu záložku s vaší e-mailovou schránkou a jinou záložku se škodlivou webovou stránkou, same-origin policy znemožní jejich vzájemnou interakci.
Právě porušení same-origin policy v rámci API IndexedDB v Safari 15 podle FingerprintJS znamená, že jakmile webová stránka zahájí interakci s databází v prohlížeči od Applu, vytvoří se nová databáze s totožným jménem ve všech aktivních oknech, záložkách či v anonymním režimu v rámci spuštěného prohlížeče. Ostatní webové stránky tak mohou vidět jména ostatních databází, což může teoreticky vyústit v únik některých osobních údajů. Například stránky Googlu generují databázi s unikátním Google User ID v názvu, skrze který může podvodná stránka získat přístup k veřejně dostupným informacím vašeho Google účtu, jako může být třeba profilový obrázek.
Pokud používáte Safari a chcete si ověřit, zda mohou být kompromitovány i vaše osobní údaje, můžete tak učinit na speciální stránce, kterou za tímto účelem vytvořil FingerprintJS. Aktuálně je speciální web schopen detekovat únik informací ze 30 populárních stránek (například Instagramu, Netflixu, Twitteru či Xboxu), přičemž je pravděpodobné, že dotčených stránek bude mnohem více.
Dokud Apple chybu neopraví, využívejte jiný prohlížeč
Jako uživatel toho bohužel příliš udělat nemůžete – FingerprintJS doporučuje přesunout se v rámci macOS na jiný prohlížeč, což ovšem není řešení pro iOS. Na mobilním systému jsou dostupné pouze prohlížeče se stejným jádrem, jako má Safari, takže stejný problém se týká všech mobilních prohlížečů na iOS. Apple se k celé situaci prozatím nevyjádřil, nicméně doufáme, že nápravu uvidíme v co nejkratší době.
