Ada Bug di Safari 15 yang Bisa Intip Aktivitas Browsing Pemilik Apple
Selasa, 18 Januari 2022 - 23:55 WIB
loading...
Ilustrasi Serangan Hacker pada pengguna Apple. FOTO/ IST
A
A
A
CUPERTINO - Apple terkenal dengan keamanan sistem operasinya. Namun baru-baru ini layanan sidik jari browser sekaligus pendeteksi penipuan, FingerprintJS, mengungkapkan adanya bug pada browser seluler milik Apple, Safari.
Bug ini memungkinkan situs web apapun bisa melacak aktivitas browsing hingga mengungkap identitas pengguna.
BACA JUGA - Kembali Berulah, Hacker Korea Utara Bobol Cryptocurrency
Celah kerentanan ini berasal dari IndexedDB Apple, sebuah Application Programming Interface (API) yang menyimpan data di browser pengguna.
FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.
Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.
FingerprintJS menemukan, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."
Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.
FingerprintJS mencatat situs yang menggunakan akun Google Anda, seperti YouTube, Google Kalender, dan Google Keep, semuanya menghasilkan basis data dengan ID Pengguna Google unik pengguna dalam namanya.
ID Pengguna Google ini memungkinkan Google untuk mengakses informasi yang tersedia untuk umum, seperti gambar profil yang dapat diekspos oleh bug Safari ke situs web lain.
FingerprintJS pun membuat demo bukti yang bisa dicoba oleh pengguna Safari 15 dan versi lebih baru di Mac, iPhone, atau iPad.
Demo menggunakan kerentanan IndexedDB browser ini bisa dipakai untuk mengidentifikasi situs apa saja yang telah dibuka pengguna.
Selain itu, demo juga menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari Google User ID.
Saat ini FingerprintJS hanya mendeteksi 30 situs populer yang terpengaruh oleh bug, seperti termasuk Instagram, Netflix, Twitter, Xbox, tetapi kemungkinan itu mempengaruhi lebih banyak lagi.
Bug ini memungkinkan situs web apapun bisa melacak aktivitas browsing hingga mengungkap identitas pengguna.
BACA JUGA - Kembali Berulah, Hacker Korea Utara Bobol Cryptocurrency
Celah kerentanan ini berasal dari IndexedDB Apple, sebuah Application Programming Interface (API) yang menyimpan data di browser pengguna.
FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain.
Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.
FingerprintJS menemukan, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."
Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.
FingerprintJS mencatat situs yang menggunakan akun Google Anda, seperti YouTube, Google Kalender, dan Google Keep, semuanya menghasilkan basis data dengan ID Pengguna Google unik pengguna dalam namanya.
ID Pengguna Google ini memungkinkan Google untuk mengakses informasi yang tersedia untuk umum, seperti gambar profil yang dapat diekspos oleh bug Safari ke situs web lain.
FingerprintJS pun membuat demo bukti yang bisa dicoba oleh pengguna Safari 15 dan versi lebih baru di Mac, iPhone, atau iPad.
Demo menggunakan kerentanan IndexedDB browser ini bisa dipakai untuk mengidentifikasi situs apa saja yang telah dibuka pengguna.
Selain itu, demo juga menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari Google User ID.
Saat ini FingerprintJS hanya mendeteksi 30 situs populer yang terpengaruh oleh bug, seperti termasuk Instagram, Netflix, Twitter, Xbox, tetapi kemungkinan itu mempengaruhi lebih banyak lagi.
(wbs)
Lihat Juga :
