Sukses

Apple Garap Perbaikan untuk Bug Keamanan di Safari 15

Liputan6.com, Jakarta - Beberapa waktu lalu, FingerprintJS melaporkan ada bug di peramban Safari 15. Bug ini disebut dapat mengungkap aktivitas browsing dan informasi pribadi yang tertaut di akun Google pengguna.

Kerentanan ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemrograman aplikasi (API) yang menyimpan data di browser pengguna.

Kini, seperti mengutip informasi dari GSM Arena, Jumat (21/1/2022), Apple ternyata sudah mengetahui masalah tersebut dan tengah menggarap perbaikan untuk menyelesaikannya.

Informasi ini diketahui WebKit commit yang ada GitHub. Namun perbaikan ini belum akan tersedia hingga perusahaan benar-benar merilis pembaruan untuk Safari.

Apple sendiri belum mengumumkan kapan perbaikan ini akan mulai digulirkan untuk pengguna. Karenanya hingga perbaikan ini dirilis, pengguna bisa memakai browser alternatif atau menonaktifkan JavaScript.

* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

2 dari 3 halaman

Bug di Safari 15

Sebelumnya, Mengutip The Verge, Selasa (18/1/2022), FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.

Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.

Dengan begitu, saat pengguna membuka akun email di satu tab, lalu membuka halaman web berbahaya di tab lain, kebijakan same-origin mencegah halaman berbahaya untuk melihat dan mencampuri alamat email pengguna.

FingerprintJS mendapati, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.

Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."

Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.

3 dari 3 halaman

Ungkap Google User ID ke Situs Lain

FingerprintJS mencatat situs yang menggunakan akun Google pengguna seperti YouTube, Google, Calendar, dan Google Keep, semuanya menghasilkan database dengan Google User ID unik dalam namanya.

Google User ID unik ini memungkinkan Google untuk mengakses informasi pengguna yang tersedia untuk umum, seperti gambar profil yang bisa diekspos oleh bug Safari ke situs web lainnya.

FingerprintJS pun membuat demo bukti yang bisa dicoba oleh pengguna Safari 15 dan versi lebih baru di Mac, iPhone, atau iPad.

Demo menggunakan kerentanan IndexedDB browser ini bisa dipakai untuk mengidentifikasi situs apa saja yang telah dibuka pengguna.

Selain itu, demo tersebut juga bisa menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari Google User ID.

(Dam/Ysl)