תקלה בדפדפן Safari של אפל (Apple), בגרסה ה-15 שלו שמבוססת על שימוש ב-Webkit, יכולה לחשוף את המשתמשים בפני גורמי צד שלישי שירצו לעקוב אחר הגלישה שלהם ברשת.
מדובר בתקלת API שקשורה לגרסת הדפדפן בסביבת ה-macOS של מחשבי החברה, וכן קיימת בכל הדפדפנים שמיועדים לשימוש ב-iOS וב-iPadOS מכיוון שכולם מבוססים על Webkit.
את התקלה, המיוחסת ל-API בשם IndexedDB, חשפו חוקרים ממעבדת האבטחה Fingerprint JS. במאמר בו הם חושפים את הפגיעות הזו ב-Safari, או בעצם ב-Webkit, הם מציינים שמעבר לכך שהיא יכולה לחשוף את נתיב הגלישה של המשתמש, היא יכולה במקרים מסוימים אף לחשוף נתונים פרטיים שלו.
IndexedDB הוא ה-API שבעת פתיחה של חלון/לשונית חדשה בדפדפן יוצר בסיס נתונים לצורך התקשורת בין הדפדפן לאתר. הבעיה היא שבמקביל, תחת אותו שם, הוא פותח בסיס נתונים בכל חלון/לשונית פתוחים שקיימים כבר, אם כי ריק מתוכן. למעשה זה גם קורה בפריימים שנפתחים באמצעות שימוש ב-JS. האקר יכול די בקלות לזהות את שם בסיס הנתונים בחלונות האחרים של הדפדפן וכך ללמוד היכן הגולש שוהה/שהה. לפי החוקרים ניתן גם לזהות כך את רמת הרגישות של הנתונים.
הם גם ציינו שבאתרים בהם משתמשים במספר זהות ייעודי עבור כל משתמש, כמו למשל YouTube, האקרים יכולים להשתמש בתקלת ה-API הזו כדי לזהות אותם, וזה יכול לקרות גם אם המשתמש גולש במצב פרטי.
“שימו לב. הדלפות אלו אינן דורשות שום פעולה מסוימת מצד המשתמש. לשונית או חלון הפועלים ברקע ומחפשים ללא הרף את ה-API של IndexedDB עבור בסיסי נתונים זמינים, יכולים ללמוד באילו אתרים אחרים משתמש מבקר בזמן אמת. לחלופין, אתרי אינטרנט יכולים לפתוח כל אתר ב-iframe או חלון קופץ על מנת להפעיל דליפה מבוססת IndexedDB עבור אותו אתר ספציפי”, כתבו החוקרים.
אנשי FingerprintJS דיווחו על התקלה לדבריהם לאפל כבר ב-28 בנובמבר, 2021, אך היא לא תוקנה. הם גם שילוב דוגמה וקוד במאמר שלהם באתר. ב-macOS אפשר לעקוף את התקלה על ידי שימוש בדפדפן אחר, אך בטלפוןובטאבלט של אפל אין ממש ברירה, אלא לבטל שימוש ב-JS מה שיפגע מאוד בחוויית הגלישה.