Apple Garap Perbaikan untuk Bug Keamanan di Safari 15

Sebelumnya, Mengutip The Verge, Selasa (18/1/2022), FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.

Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.

Dengan begitu, saat pengguna membuka akun email di satu tab, lalu membuka halaman web berbahaya di tab lain, kebijakan same-origin mencegah halaman berbahaya untuk melihat dan mencampuri alamat email pengguna.

FingerprintJS mendapati, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.

Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."

Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.

FingerprintJS mencatat situs yang menggunakan akun Google pengguna seperti YouTube, Google, Calendar, dan Google Keep, semuanya menghasilkan database dengan Google User ID unik dalam namanya.

Google User ID unik ini memungkinkan Google untuk mengakses informasi pengguna yang tersedia untuk umum, seperti gambar profil yang bisa diekspos oleh bug Safari ke situs web lainnya.

FingerprintJS pun membuat demo bukti yang bisa dicoba oleh pengguna Safari 15 dan versi lebih baru di Mac, iPhone, atau iPad.

Demo menggunakan kerentanan IndexedDB browser ini bisa dipakai untuk mengidentifikasi situs apa saja yang telah dibuka pengguna.

Selain itu, demo tersebut juga bisa menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari Google User ID.

(Dam/Ysl)