ITBoxChyba v prohlížeči Safari může odhalit vaši historii procházení

Chyba v prohlížeči Safari může odhalit vaši historii procházení

Služba FingerprintJS, která se zaměřuje na bezpečnost a soukromí prohlížečů, odhalila novou zranitelnost v prohlížeči Safari 15. Ta může způsobit únik vaší historie procházení a také odhalit některé osobní údaje připojené k vašemu účtu Google.

Zranitelnost vychází z problému s implementací rozhraní API IndexedDB, které ukládá data v prohlížeči. Databáze IndexedDB dodržuje zásady stejného zdroje, které omezují interakci jednoho zdroje s daty, která byla shromážděna na jiných zdrojích. V podstatě může k datům přistupovat pouze webová stránka, která ta data předtím vygenerovala.

Pokud například otevřete svůj e-mailový účet na jedné kartě a poté otevřete škodlivou webovou stránku na jiné kartě, zásada stejného zdroje zabrání škodlivé stránce zobrazit jakákoliv data o vašem emailu.

Apple ale tuto databází špatně implementoval. Když webová stránka komunikuje s databází v prohlížeči Safari, tak se ve všech ostatních kartách a oknech v rámci stejné relace prohlížeče vytvoří nová prázdná databáze se stejným názvem. To znamená, že škodlivá stránka bude mít přístup k celému jménu databáze.

Odhaleno může být i vaše ID uživatelského účtu Google

V některých případech používají webové stránky v názvech databází jedinečné identifikátory specifické pro uživatele. Například YouTube vytváří databáze, které v názvu obsahují ověřený identifikátor uživatele Google. Tento identifikátor lze použít k zjištění osobních informací o uživateli, například jako je profilové fotografie. Tyto osobní informace by mohly útočníkovi pomoci určit identitu uživatele.

FingerprintJS vytvořil ukázkovou verzi webu využívající tuto zranitelnost, kterou si můžete vyzkoušet, pokud máte na Macu, iPhonu nebo iPadu prohlížeč Safari 15 a vyšší. V současné době detekuje pouze 30 populárních webů, které jsou touto chybou postiženy, zahrnují například Instagram, Netflix, Twitter, Xbox. V realitě je zranitelností zasažen každý web, který IndexedDB využívá.

Apple ví o této chybě již od 28. listopadu

Zranitelnost bohužel nelze nijak obejít. Podle služby FingerprintJS funguje zranitelnost i v otevřených anonymních oknech. Ani použití jiného prohlížeče nepomůže, protože kvůli restrikcím od Applu musí všechny prohlížeče vnitřně používat Safari engine.

Služba FingerprintJS nahlásila zranitelnost do WebKit Bug Tracker již 28. listopadu, ale aktualizace Safari zatím nebyla vydána.

Doporučujeme

Po ruských útocích na Kyjev a okolí je nejméně 12 mrtvých, přes 60 zraněných

Při rozsáhlých ruských útocích na Kyjev a okolí v noci na dnešek přišlo o život nejméně 12 lidí, uvedly agentury s odvoláním na ukrajinské úřady. V hlavním městě podle Ukrinformu zahynulo 11 lidí a dalších 46 utrpělo zranění. Rusko na Ukrajinu zaútočilo 68 raketami a 351 drony, uvedlo dnes ukrajinské letectvo. Zničit se podle něj podařilo 37 raket a 326 dronů.

Firmy nakupují ve velkém. Akvizice dosáhly rekordní hodnoty

Světové firmy se letos znovu pustily do velkých nákupů. Hodnota oznámených fúzí a akvizic v první polovině roku dosáhla 2,8 bilionu dolarů, tedy nejvyšší úrovně za první pololetí od začátku sledování těchto dat. Trh přitom táhnou hlavně obří dohody, technologické firmy, umělá inteligence a dostupné financování.

Na pohřbu Alího Chameneího chyběl jeho nástupce, současný íránský nejvyšší vůdce

Teherán zaplavily desetitisíce lidí, kteří se přišli rozloučit s bývalým íránským nejvyšším vůdcem Alím Chameneím. Největší pozornost ale nepřitahovaly projevy ani průvod. Místo toho se soustředila na nepřítomnost jeho syna a nástupce Mojtaby Chameneího.

Trump nezrušil oslavy Dne nezávislosti navzdory extrémnímu počasí

Americký prezident Donald Trump prohlásil, že osobně odmítl doporučení zrušit červencovou akci Salute to America ve Washingtonu. Oslavy Dne nezávislosti na National Mall narušilo extrémní počasí, bouřky i velké horko. Událost provázely evakuace, zpoždění a otázky, zda byly úřady na nebezpečné podmínky dostatečně připraveny.

Po zemětřesení ve Venezuele sílí kritika státního bydlení

Série zemětřesení na severním pobřeží Venezuely obrátila pozornost k veřejnému bydlení, které mělo být symbolem důstojného života pro chudší obyvatele. V La Guaiře se po otřesech zřítily výškové domy i řadové stavby pojmenované po bývalém prezidentovi Hugovi Chávezovi. Místní teď viní vládu z toho, že nechala postavit nekvalitní byty kvůli politickému zisku.

První francouzský pacient s ebolou se vyléčil, propustili ho z nemocnice

První pacient, u kterého byla na území Francie potvrzena nákaza virem ebola, se plně uzdravil a byl propuštěn z nemocnice. Oznámila to francouzská ministryně zdravotnictví Stéphanie Rist.

Írán a Katar obnovily vzájemný obchod v Perském zálivu

Po několikaměsíční pauze, způsobené americko-izraelskou válkou s Íránem, obnovily Katar a Írán vzájemný námořní obchod v Perském zálivu. S odvoláním na obchodního atašé v katarském Dauhá o tom dnes informovala íránská státní média.

Ukrajina hlásí dvě oběti v Charkovské oblasti, při útoku na Krym zemřel člověk

Ruský útok zabil v Charkovské oblasti dva lidi, informovaly dnes místní úřady. Na poloostrově Krym, který okupují Rusové, v noci na dnešek zahynul při ukrajinském útoku jeden člověk, další dva byli zraněni. Podle agentury AFP to uvedla místní správa. Ukrajina mluví o ruském útoku na Sumy a Charkov, kyjevské úřady také upřesnily, že počet obětí čtvrtečního ruského útoku na Kyjev se zvýšil na 31. Dosud jich bylo 30.

Paříž a Londýn ve spolupráci s Ománem usilují o bezpečnou plavbu Hormuzským průlivem

Poté, co Írán odmítl mezinárodní námořní misi v Hormuzském průlivu, Francie a Spojené království spolupracují s Ománem na zajištění bezpečné plavby po této vodní cestě. Informovala o tom dnes agentura DPA.

V Rudém moři se dostala pod palbu nákladní loď, oznámila britská vojenská služba

V Rudém moři nedaleko jemenských břehů se dnes dostala pod palbu nákladní loď. Její posádka oznámila, že ji přibližně 30 námořních mil (55 kilometrů) od pobřeží napadli neznámí útočníci. Na svém webu o tom informovala britská vojenská námořní služba UKMTO. Agentura AP uvedla, že za útokem by mohli stát jemenští povstalci Húsíové nebo somálští piráti.

Ohňostroje zatěžují ovzduší i vodní ekosystémy

Ohňostroje nezanechávají jen kouř a světelné efekty. Po oslavách zůstávají ve vodě i ovzduší chemické látky, jemné částice a zbytky pyrotechniky, které mohou ovlivnit kvalitu životního prostředí i fungování ekosystémů.

Trump v projevu k 250. výročí nezávislosti mluvil o zlatém věku Spojených států

Americký prezident Donald Trump dnes ve svém 40minutovém projevu u příležitosti 250. výročí nezávislosti Spojených států hovořil o amerických vojenských a vesmírných úspěších, své politické agendě, o hrozbách komunismu i o tom, co označil za úsvit zlatého věku Spojených států. Projev se uskutečnil s několikahodinovým zpožděním způsobeným evakuací prostranství National Mall kvůli bouři. Po prezidentově projevu následovala velkolepá show s ohňostroji a hudebním doprovodem.

Baterie elektromobilů vydrží víc, než se čekalo. Může to změnit trh s ojetinami

Obava z drahé výměny baterie dlouho patřila k hlavním důvodům, proč se část řidičů držela od elektromobilů dál. Nová data ale ukazují, že moderní baterie stárnou pomaleji, než se původně očekávalo. Pro trh to může být zásadní zpráva, hlavně u ojetých elektroaut.

Papež Lev XIV. vyzval na Lampeduse Evropu k lepší integraci migrantů

Papež Lev XIV. během návštěvy italského ostrova Lampedusa vyzval evropské státy, aby k migraci přistupovaly komplexněji. Podle něj by Evropa měla nejen pomáhat lidem přicházejícím na kontinent, ale také podporovat rozvoj jejich domovských zemí, aby nikdo nebyl nucen odcházet.

Stablecoin Open USD získal podporu velkých firem

Do světa kryptoměn vstupuje projekt, který nemíří jen na obchodníky a technologické nadšence. Více než 140 firem včetně Visa, Mastercard, Stripe, BlackRocku, Googlu a Coinbase podpořilo vznik Open USD, nové digitální měny navázané na americký dolar. Její tvůrci ji chtějí dostat blíž k běžným internetovým platbám.
Reklama
Reklama
Reklama
Reklama