ITBoxChyba v prohlížeči Safari může odhalit vaši historii procházení

Chyba v prohlížeči Safari může odhalit vaši historii procházení

Služba FingerprintJS, která se zaměřuje na bezpečnost a soukromí prohlížečů, odhalila novou zranitelnost v prohlížeči Safari 15. Ta může způsobit únik vaší historie procházení a také odhalit některé osobní údaje připojené k vašemu účtu Google.

Zranitelnost vychází z problému s implementací rozhraní API IndexedDB, které ukládá data v prohlížeči. Databáze IndexedDB dodržuje zásady stejného zdroje, které omezují interakci jednoho zdroje s daty, která byla shromážděna na jiných zdrojích. V podstatě může k datům přistupovat pouze webová stránka, která ta data předtím vygenerovala.

Pokud například otevřete svůj e-mailový účet na jedné kartě a poté otevřete škodlivou webovou stránku na jiné kartě, zásada stejného zdroje zabrání škodlivé stránce zobrazit jakákoliv data o vašem emailu.

Apple ale tuto databází špatně implementoval. Když webová stránka komunikuje s databází v prohlížeči Safari, tak se ve všech ostatních kartách a oknech v rámci stejné relace prohlížeče vytvoří nová prázdná databáze se stejným názvem. To znamená, že škodlivá stránka bude mít přístup k celému jménu databáze.

Odhaleno může být i vaše ID uživatelského účtu Google

V některých případech používají webové stránky v názvech databází jedinečné identifikátory specifické pro uživatele. Například YouTube vytváří databáze, které v názvu obsahují ověřený identifikátor uživatele Google. Tento identifikátor lze použít k zjištění osobních informací o uživateli, například jako je profilové fotografie. Tyto osobní informace by mohly útočníkovi pomoci určit identitu uživatele.

FingerprintJS vytvořil ukázkovou verzi webu využívající tuto zranitelnost, kterou si můžete vyzkoušet, pokud máte na Macu, iPhonu nebo iPadu prohlížeč Safari 15 a vyšší. V současné době detekuje pouze 30 populárních webů, které jsou touto chybou postiženy, zahrnují například Instagram, Netflix, Twitter, Xbox. V realitě je zranitelností zasažen každý web, který IndexedDB využívá.

Apple ví o této chybě již od 28. listopadu

Zranitelnost bohužel nelze nijak obejít. Podle služby FingerprintJS funguje zranitelnost i v otevřených anonymních oknech. Ani použití jiného prohlížeče nepomůže, protože kvůli restrikcím od Applu musí všechny prohlížeče vnitřně používat Safari engine.

Služba FingerprintJS nahlásila zranitelnost do WebKit Bug Tracker již 28. listopadu, ale aktualizace Safari zatím nebyla vydána.

Doporučujeme

Po zemětřesení ve Venezuele sílí kritika státního bydlení

Série zemětřesení na severním pobřeží Venezuely obrátila pozornost k veřejnému bydlení, které mělo být symbolem důstojného života pro chudší obyvatele. V La Guaiře se po otřesech zřítily výškové domy i řadové stavby pojmenované po bývalém prezidentovi Hugovi Chávezovi. Místní teď viní vládu z toho, že nechala postavit nekvalitní byty kvůli politickému zisku.

První francouzský pacient s ebolou se vyléčil, propustili ho z nemocnice

První pacient, u kterého byla na území Francie potvrzena nákaza virem ebola, se plně uzdravil a byl propuštěn z nemocnice. Oznámila to francouzská ministryně zdravotnictví Stéphanie Rist.

Írán a Katar obnovily vzájemný obchod v Perském zálivu

Po několikaměsíční pauze, způsobené americko-izraelskou válkou s Íránem, obnovily Katar a Írán vzájemný námořní obchod v Perském zálivu. S odvoláním na obchodního atašé v katarském Dauhá o tom dnes informovala íránská státní média.

Ukrajina hlásí dvě oběti v Charkovské oblasti, při útoku na Krym zemřel člověk

Ruský útok zabil v Charkovské oblasti dva lidi, informovaly dnes místní úřady. Na poloostrově Krym, který okupují Rusové, v noci na dnešek zahynul při ukrajinském útoku jeden člověk, další dva byli zraněni. Podle agentury AFP to uvedla místní správa. Ukrajina mluví o ruském útoku na Sumy a Charkov, kyjevské úřady také upřesnily, že počet obětí čtvrtečního ruského útoku na Kyjev se zvýšil na 31. Dosud jich bylo 30.

Paříž a Londýn ve spolupráci s Ománem usilují o bezpečnou plavbu Hormuzským průlivem

Poté, co Írán odmítl mezinárodní námořní misi v Hormuzském průlivu, Francie a Spojené království spolupracují s Ománem na zajištění bezpečné plavby po této vodní cestě. Informovala o tom dnes agentura DPA.

V Rudém moři se dostala pod palbu nákladní loď, oznámila britská vojenská služba

V Rudém moři nedaleko jemenských břehů se dnes dostala pod palbu nákladní loď. Její posádka oznámila, že ji přibližně 30 námořních mil (55 kilometrů) od pobřeží napadli neznámí útočníci. Na svém webu o tom informovala britská vojenská námořní služba UKMTO. Agentura AP uvedla, že za útokem by mohli stát jemenští povstalci Húsíové nebo somálští piráti.

Ohňostroje zatěžují ovzduší i vodní ekosystémy

Ohňostroje nezanechávají jen kouř a světelné efekty. Po oslavách zůstávají ve vodě i ovzduší chemické látky, jemné částice a zbytky pyrotechniky, které mohou ovlivnit kvalitu životního prostředí i fungování ekosystémů.

Trump v projevu k 250. výročí nezávislosti mluvil o zlatém věku Spojených států

Americký prezident Donald Trump dnes ve svém 40minutovém projevu u příležitosti 250. výročí nezávislosti Spojených států hovořil o amerických vojenských a vesmírných úspěších, své politické agendě, o hrozbách komunismu i o tom, co označil za úsvit zlatého věku Spojených států. Projev se uskutečnil s několikahodinovým zpožděním způsobeným evakuací prostranství National Mall kvůli bouři. Po prezidentově projevu následovala velkolepá show s ohňostroji a hudebním doprovodem.

Baterie elektromobilů vydrží víc, než se čekalo. Může to změnit trh s ojetinami

Obava z drahé výměny baterie dlouho patřila k hlavním důvodům, proč se část řidičů držela od elektromobilů dál. Nová data ale ukazují, že moderní baterie stárnou pomaleji, než se původně očekávalo. Pro trh to může být zásadní zpráva, hlavně u ojetých elektroaut.

Papež Lev XIV. vyzval na Lampeduse Evropu k lepší integraci migrantů

Papež Lev XIV. během návštěvy italského ostrova Lampedusa vyzval evropské státy, aby k migraci přistupovaly komplexněji. Podle něj by Evropa měla nejen pomáhat lidem přicházejícím na kontinent, ale také podporovat rozvoj jejich domovských zemí, aby nikdo nebyl nucen odcházet.

Stablecoin Open USD získal podporu velkých firem

Do světa kryptoměn vstupuje projekt, který nemíří jen na obchodníky a technologické nadšence. Více než 140 firem včetně Visa, Mastercard, Stripe, BlackRocku, Googlu a Coinbase podpořilo vznik Open USD, nové digitální měny navázané na americký dolar. Její tvůrci ji chtějí dostat blíž k běžným internetovým platbám.

Sparta představila nové domácí dresy pro sezonu 2026/27

Sparta odhalila domácí dresy pro sezonu 2026/27 a připomněla příběh, který klub spojuje s londýnským Arsenalem už 120 let. Nová sada sází na tradiční rudou barvu, výraznější černé prvky i jednoduchý vzhled. Hlavní tváří kampaně se stal sportovní ředitel Tomáš Rosický, který ve videu připomíná historické kořeny klubových barev.

Trumpovy účty pro děti začaly fungovat

Ve Spojených státech začaly fungovat takzvané Trumpovy účty, nový federální nástroj pro spoření a investování pro děti. Program má rodičům umožnit ukládat peníze do investičních účtů, které budou spravovat velké finanční firmy z Wall Street. První vlna účtů se týká dětí narozených mezi lednem 2025 a prosincem 2028.

Ukrajinské drony zasáhly ropný terminál v Petrohradu

Ukrajina podnikla další dálkový útok na ruskou ropnou infrastrukturu. Drony zasáhly ropný terminál v Petrohradu a podle ukrajinského prezidenta Volodymyra Zelenského také vojenský cíl v Kronštadtu. Kyjev tím pokračuje v kampani, která má omezit příjmy Moskvy z energetiky a přenášet tlak hlouběji na ruské území.

Zlaté rybky mohou vážně poškodit sladkovodní ekosystémy

Zlatá rybka patří mezi nejoblíbenější akvarijní chovance na světě. Jakmile se ale dostane do volné přírody, může se proměnit v invazní druh, který výrazně naruší fungování jezer a rybníků. Nový výzkum ukazuje, že její přítomnost zhoršuje kvalitu vody, omezuje původní živočichy a oslabuje domácí druhy ryb.
Reklama
Reklama
Reklama
Reklama