ITBoxChyba v prohlížeči Safari může odhalit vaši historii procházení

Chyba v prohlížeči Safari může odhalit vaši historii procházení

Služba FingerprintJS, která se zaměřuje na bezpečnost a soukromí prohlížečů, odhalila novou zranitelnost v prohlížeči Safari 15. Ta může způsobit únik vaší historie procházení a také odhalit některé osobní údaje připojené k vašemu účtu Google.

Zranitelnost vychází z problému s implementací rozhraní API IndexedDB, které ukládá data v prohlížeči. Databáze IndexedDB dodržuje zásady stejného zdroje, které omezují interakci jednoho zdroje s daty, která byla shromážděna na jiných zdrojích. V podstatě může k datům přistupovat pouze webová stránka, která ta data předtím vygenerovala.

Pokud například otevřete svůj e-mailový účet na jedné kartě a poté otevřete škodlivou webovou stránku na jiné kartě, zásada stejného zdroje zabrání škodlivé stránce zobrazit jakákoliv data o vašem emailu.

Apple ale tuto databází špatně implementoval. Když webová stránka komunikuje s databází v prohlížeči Safari, tak se ve všech ostatních kartách a oknech v rámci stejné relace prohlížeče vytvoří nová prázdná databáze se stejným názvem. To znamená, že škodlivá stránka bude mít přístup k celému jménu databáze.

Odhaleno může být i vaše ID uživatelského účtu Google

V některých případech používají webové stránky v názvech databází jedinečné identifikátory specifické pro uživatele. Například YouTube vytváří databáze, které v názvu obsahují ověřený identifikátor uživatele Google. Tento identifikátor lze použít k zjištění osobních informací o uživateli, například jako je profilové fotografie. Tyto osobní informace by mohly útočníkovi pomoci určit identitu uživatele.

FingerprintJS vytvořil ukázkovou verzi webu využívající tuto zranitelnost, kterou si můžete vyzkoušet, pokud máte na Macu, iPhonu nebo iPadu prohlížeč Safari 15 a vyšší. V současné době detekuje pouze 30 populárních webů, které jsou touto chybou postiženy, zahrnují například Instagram, Netflix, Twitter, Xbox. V realitě je zranitelností zasažen každý web, který IndexedDB využívá.

Apple ví o této chybě již od 28. listopadu

Zranitelnost bohužel nelze nijak obejít. Podle služby FingerprintJS funguje zranitelnost i v otevřených anonymních oknech. Ani použití jiného prohlížeče nepomůže, protože kvůli restrikcím od Applu musí všechny prohlížeče vnitřně používat Safari engine.

Služba FingerprintJS nahlásila zranitelnost do WebKit Bug Tracker již 28. listopadu, ale aktualizace Safari zatím nebyla vydána.

Doporučujeme

Papež Lev XIV. vyzval na Lampeduse Evropu k lepší integraci migrantů

Papež Lev XIV. během návštěvy italského ostrova Lampedusa vyzval evropské státy, aby k migraci přistupovaly komplexněji. Podle něj by Evropa měla nejen pomáhat lidem přicházejícím na kontinent, ale také podporovat rozvoj jejich domovských zemí, aby nikdo nebyl nucen odcházet.

Stablecoin Open USD získal podporu velkých firem

Do světa kryptoměn vstupuje projekt, který nemíří jen na obchodníky a technologické nadšence. Více než 140 firem včetně Visa, Mastercard, Stripe, BlackRocku, Googlu a Coinbase podpořilo vznik Open USD, nové digitální měny navázané na americký dolar. Její tvůrci ji chtějí dostat blíž k běžným internetovým platbám.

Sparta představila nové domácí dresy pro sezonu 2026/27

Sparta odhalila domácí dresy pro sezonu 2026/27 a připomněla příběh, který klub spojuje s londýnským Arsenalem už 120 let. Nová sada sází na tradiční rudou barvu, výraznější černé prvky i jednoduchý vzhled. Hlavní tváří kampaně se stal sportovní ředitel Tomáš Rosický, který ve videu připomíná historické kořeny klubových barev.

Trumpovy účty pro děti začaly fungovat

Ve Spojených státech začaly fungovat takzvané Trumpovy účty, nový federální nástroj pro spoření a investování pro děti. Program má rodičům umožnit ukládat peníze do investičních účtů, které budou spravovat velké finanční firmy z Wall Street. První vlna účtů se týká dětí narozených mezi lednem 2025 a prosincem 2028.

Ukrajinské drony zasáhly ropný terminál v Petrohradu

Ukrajina podnikla další dálkový útok na ruskou ropnou infrastrukturu. Drony zasáhly ropný terminál v Petrohradu a podle ukrajinského prezidenta Volodymyra Zelenského také vojenský cíl v Kronštadtu. Kyjev tím pokračuje v kampani, která má omezit příjmy Moskvy z energetiky a přenášet tlak hlouběji na ruské území.

Zlaté rybky mohou vážně poškodit sladkovodní ekosystémy

Zlatá rybka patří mezi nejoblíbenější akvarijní chovance na světě. Jakmile se ale dostane do volné přírody, může se proměnit v invazní druh, který výrazně naruší fungování jezer a rybníků. Nový výzkum ukazuje, že její přítomnost zhoršuje kvalitu vody, omezuje původní živočichy a oslabuje domácí druhy ryb.

Princ William mluvil o fotbale v podcastu Travise Kelceho

Princ William překvapil uvolněným vystoupením v podcastu New Heights, který moderují Travis Kelce a jeho bratr Jason Kelce. Tématem nebyla svatba Travise Kelceho s Taylor Swift, ale fotbalová horečka kolem mistrovství světa, jehož spolupořadatelem jsou Spojené státy.

Nová zpráva upozorňuje na méně známé zdroje mikroplastů v každodenním životě

Mikroplasty se podle nové rozsáhlé zprávy do lidského těla nedostávají jen z obalů nebo plastových lahví. Odborníci upozorňují také na zdravotnické pomůcky, dětské hračky, barvy na stěnách nebo kojeneckou výživu. Přehled více než 350 studií zároveň varuje, že některé budoucí klimatické technologie mohou množství mikroplastů v ovzduší ještě zvýšit.

Následující měsíce mohou být kritické, reagoval premiér Tusk na spekulace o ruské hrozbě Polsku

Polský premiér Donald Tusk krátce před summitem NATO varoval, že nadcházející měsíce mohou být z hlediska bezpečnosti „kritické“. Reagoval tak na mediální zprávy, podle nichž americké zpravodajské služby upozornily Varšavu na možné ruské plány ozbrojené provokace na polském území s cílem otestovat odhodlání Aliance.

Írán zahájil několikadenní pohřeb Alího Chameneího

Írán zahájil několikadenní smuteční obřady za zesnulého nejvyššího vůdce ajatolláha Alího Chameneího. Jeho rakev byla vystavena v teheránském modlitebním komplexu Grand Mosalla, odkud se má pohřební procesí v dalších dnech přesunout přes několik měst v Íránu i sousedním Iráku.

Rittich bude chytat za New Jersey a v NHL vystřídá už sedmý klub

David Rittich zůstává v NHL i pro další sezonu. Zkušený český brankář mění dres New York Islanders za New Jersey Devils, kde podepsal roční smlouvu. V zámořské soutěži tak rozšíří seznam svých působišť už na sedm klubů a vykročí do jedenácté sezony mezi elitou.

Francouzi natírají okna křídou a hledají úlevu od veder

Extrémní vedra přiměla mnoho Francouzů sáhnout po překvapivě jednoduchém řešení. Na okna domů, škol i dalších budov nanášejí směs z rozdrcené křídy a vody, která pomáhá odrážet sluneční záření. Levný postup se rychle šíří po sociálních sítích a v některých obchodech už kvůli velkému zájmu dochází zásoby.

Artis Brno si zahraje první ligu

Brno bude mít po letech dva zástupce v nejvyšší fotbalové soutěži. Vedle Zbrojovky si premiérovou sezonu mezi elitou zahraje také Artis Brno, který přijal nabídku Ligové fotbalové asociace na administrativní doplnění soutěže po vyloučení Karviné.

Kvůli skandálu ve varšavské nemocnici odstoupily zástupkyně primátora

Dvě zástupkyně varšavského primátora dnes odstoupily ze svých funkcí, oznámil primátor Rafal Trzaskowski. Jde o o důsledek skandálu v jedné z varšavských nemocnic, kde se politici vládní strany a jejich příbuzní těšili protekčnímu zacházení a šéf pohotovosti pobíral horentní příjmy. Po odhalení následuje "politické zemětřesení" v hlavním městě, informují média. Další personální změny mohou následovat, pohrozil premiér Donald Tusk.

Spojené státy stáhly po operaci proti IS z Nigérie většinu svých vojenských sil

Spojené státy stáhly z Nigérie většinu vojenských sil, které nasadily při nedávné společné operaci proti bojovníkům teroristické organizace Islámský stát (IS). Nyní na žádost Abuji poskytují zpravodajskou podporu, uvedl podle agentury Reuters velitel velitelství amerických sil pro Afriku (AFRICOM) Dagvin Anderson.
Reklama
Reklama
Reklama
Reklama