Více
    23.6 C
    Czech
    Středa 29. května 2024

    Prohlížeč Safari není tak bezpečný, jak Apple říká. Nová chyba umožňuje útočníkovi získat vaši historii procházení

    Nová zranitelnost v prohlížeči Safari 15 může způsobit únik vaší historie procházení a také odhalit některé osobní údaje připojené k vašemu účtu Google. Informovala o tom služba FingerprintJS, která se zaměřuje na bezpečnost a soukromí prohlížečů.

    Zranitelnost vychází z problému s implementací rozhraní API IndexedDB, které ukládá data v prohlížeči. Databáze IndexedDB dodržuje zásady stejného zdroje, které omezují interakci jednoho zdroje s daty, která byla shromážděna na jiných zdrojích. V podstatě může k datům přistupovat pouze webová stránka, která ta data předtím vygenerovala.

    Pokud například otevřete svůj e-mailový účet na jedné kartě a poté otevřete škodlivou webovou stránku na jiné kartě, zásada stejného zdroje zabrání škodlivé stránce zobrazit jakákoliv data o vašem emailu.

    Apple ale tuto databází špatně implementoval. Když webová stránka komunikuje s databází v prohlížeči Safari, tak se ve všech ostatních kartách a oknech v rámci stejné relace prohlížeče vytvoří nová prázdná databáze se stejným názvem. To znamená, že škodlivá stránka bude mít přístup k celému jménu databáze.

    Odhaleno může být i vaše ID uživatelského účtu Google

    V některých případech používají webové stránky v názvech databází jedinečné identifikátory specifické pro uživatele. Například YouTube vytváří databáze, které v názvu obsahují ověřený identifikátor uživatele Google. Tento identifikátor lze použít k zjištění osobních informací o uživateli, například jako je profilové fotografie. Tyto osobní informace by mohly útočníkovi pomoci určit identitu uživatele.

    FingerprintJS vytvořil ukázkovou verzi webu využívající tuto zranitelnost, kterou si můžete vyzkoušet, pokud máte na Macu, iPhonu nebo iPadu prohlížeč Safari 15 a vyšší. V současné době detekuje pouze 30 populárních webů, které jsou touto chybou postiženy, zahrnují například Instagram, Netflix, Twitter, Xbox. V realitě je zranitelností zasažen každý web, který IndexedDB využívá.

    Apple ví o této chybě již od 28. listopadu

    Zranitelnost bohužel nelze nijak obejít. Podle služby FingerprintJS funguje zranitelnost i v otevřených anonymních oknech. Ani použití jiného prohlížeče nepomůže, protože kvůli restrikcím od Applu musí všechny prohlížeče vnitřně používat Safari engine.

    Služba FingerprintJS nahlásila zranitelnost do WebKit Bug Tracker již 28. listopadu, ale aktualizace Safari zatím nebyla vydána.

    Sledujte nás na sítích

    OpenAI zakládá bezpečnostní výbor. Bude dohlížet na výzkum a trénovat model nové generace

    Společnost OpenAI oznámila zřízení Výboru pro bezpečnost a zabezpečení, devítičlenného panelu, jehož úkolem je zajistit bezpečný průběh výzkumu strojového učení. Vede ho generální ředitel OpenAI Sam Altman a tři další ředitelé včetně předsedy správní rady Breta Taylora. Členyjsou také vedoucí inženýři Aleksander Madry, Lilian Weng, John Schulman, Matt Knight a Jakub Pachocki.

    Společnost xAI Elona Muska získala 6 miliard dolarů na vývoj umělé inteligence. Plánuje spuštění superpočítače

    Technologický podnik Elona Muska xAI získá od skupiny investorů investici 6 miliard dolarů na vývoj umělé inteligence (AI). Financování, které bylo oznámeno na internetových stránkách společnosti, je součástí kola série B. Mělo by výrazně urychlit uvedení prvních produktů xAI na trh a podpořit výzkumné úsilí.

    Skoro 30letá éra ICQ končí: Oblíbený komunikátor definitivně vypíná své služby

    Kdysi nesmírně populární komunikační nástroj ICQ definitivně končí. Služba, která v dobách svého největšího rozmachu měla přes 100 milionů uživatelů po celém světě, přestane fungovat od 26. června.

    Xiaomi opět kopíruje Apple. Tentokrát jeho kontroverzní reklamu

    Apple nedávno rozpoutal bouři kontroverzní reklamou na nový iPad Pro. V ní byly hudební nástroje a umělecké předměty slisovány do tenkého zařízení. Teď se zdá, že čínská technologická společnost Xiaomi se rozhodla využít této publicity ve své vlastní reklamě na Xiaomi 14 Civi. Je kopírování chytrým marketingovým tahem, nebo jen dalším příkladem nedostatečné kreativity?

    NEJNOVĚJŠÍ

    OpenAI zakládá bezpečnostní výbor. Bude dohlížet na výzkum a trénovat model nové generace

    Společnost OpenAI oznámila zřízení Výboru pro bezpečnost a zabezpečení, devítičlenného panelu, jehož úkolem je zajistit bezpečný průběh výzkumu strojového učení. Vede ho generální ředitel OpenAI Sam Altman a tři další ředitelé včetně předsedy správní rady Breta Taylora. Členyjsou také vedoucí inženýři Aleksander Madry, Lilian Weng, John Schulman, Matt Knight a Jakub Pachocki.

    Společnost xAI Elona Muska získala 6 miliard dolarů na vývoj umělé inteligence. Plánuje spuštění superpočítače

    Technologický podnik Elona Muska xAI získá od skupiny investorů investici 6 miliard dolarů na vývoj umělé inteligence (AI). Financování, které bylo oznámeno na internetových stránkách společnosti, je součástí kola série B. Mělo by výrazně urychlit uvedení prvních produktů xAI na trh a podpořit výzkumné úsilí.

    Skoro 30letá éra ICQ končí: Oblíbený komunikátor definitivně vypíná své služby

    Kdysi nesmírně populární komunikační nástroj ICQ definitivně končí. Služba, která v dobách svého největšího rozmachu měla přes 100 milionů uživatelů po celém světě, přestane fungovat od 26. června.

    Xiaomi opět kopíruje Apple. Tentokrát jeho kontroverzní reklamu

    Apple nedávno rozpoutal bouři kontroverzní reklamou na nový iPad Pro. V ní byly hudební nástroje a umělecké předměty slisovány do tenkého zařízení. Teď se zdá, že čínská technologická společnost Xiaomi se rozhodla využít této publicity ve své vlastní reklamě na Xiaomi 14 Civi. Je kopírování chytrým marketingovým tahem, nebo jen dalším příkladem nedostatečné kreativity?