Ada Bug di Safari 15 yang Bisa Intip Aktivitas Browsing Pemilik Apple
Selasa, 18 Januari 2022 - 23:55 WIB
CUPERTINO - Apple terkenal dengan keamanan sistem operasinya. Namun baru-baru ini layanan sidik jari browser sekaligus pendeteksi penipuan, FingerprintJS, mengungkapkan adanya bug pada browser seluler milik Apple, Safari.
Bug ini memungkinkan situs web apapun bisa melacak aktivitas browsing hingga mengungkap identitas pengguna.
Celah kerentanan ini berasal dari IndexedDB Apple, sebuah Application Programming Interface (API) yang menyimpan data di browser pengguna.
FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.
Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.
FingerprintJS menemukan, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."
Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.
Bug ini memungkinkan situs web apapun bisa melacak aktivitas browsing hingga mengungkap identitas pengguna.
Celah kerentanan ini berasal dari IndexedDB Apple, sebuah Application Programming Interface (API) yang menyimpan data di browser pengguna.
FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.
Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.
FingerprintJS menemukan, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."
Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.
tulis komentar anda