A di browser Apple untuk macOS, iOS, dan iPadOS dapat menyebabkan pengungkapan informasi, para peneliti memperingatkan. Apple baru saja menandai masalah sebagai "selesai," tetapi akan membutuhkan beberapa waktu untuk perbaikan untuk diluncurkan, kata mereka, sehingga pengguna harus menerapkan mitigasi.
Menurut peneliti di FingerprintJS, bug adalah pelanggaran kebijakan asal yang sama. Biasanya, browser web mengizinkan skrip pada satu halaman web untuk mengakses data di halaman web kedua hanya jika kedua halaman memiliki server asal/back-end yang sama. Tanpa kebijakan keamanan ini, seorang pengintai yang berhasil menyuntikkan skrip berbahaya ke satu situs web akan dapat memiliki akses gratis ke data apa pun yang terdapat di tab lain yang mungkin dibuka korban di browser, termasuk akses ke sesi perbankan online, email , data portal perawatan kesehatan dan informasi sensitif lainnya.
Dalam hal ini, masalah khusus ada dalam implementasi API IndexedDB Safari 15, kata para peneliti dalam posting baru-baru ini. Jika dieksploitasi, penyerang siber dapat menggunakan situs web jahat untuk melacak aktivitas internet korban dan mungkin dapat mengungkap identitas pengguna.
“IndexedDB adalah browser API untuk penyimpanan sisi klien yang dirancang untuk menyimpan sejumlah besar data,” jelas peneliti di Malwarebytes, dalam ikhtisar hari Rabu dari analisis asli. “Para peneliti menemukan bahwa versi WebKit saat ini, mesin browser yang mendukung Safari…dapat ditipu untuk melewatkan pemeriksaan asal yang sama. Sederhananya, nama semua basis data IndexedDB tersedia untuk situs mana pun yang Anda kunjungi dalam sesi yang sama.”
Meskipun akses sebenarnya ke konten setiap basis data dibatasi, pelaku kejahatan masih dapat mengumpulkan informasi tentang situs web lain apa yang orang yang dikunjungi di tab atau jendela yang berbeda, ditambah informasi tentang akun masuk tertentu (termasuk akun Google).
“Layanan Google menyimpan instance IndexedDB untuk setiap akun masuk Anda, dengan nama database yang sesuai dengan ID Pengguna Google Anda . ID ini dapat diambil menggunakan kebocoran ini juga, ”peneliti Malwarebytes menjelaskan. Mereka menambahkan, “pengguna yang diautentikasi dapat diidentifikasi secara unik dan tepat. Ini termasuk, misalnya, gambar profil Google Anda, yang dapat dicari menggunakan ID yang dilampirkan ke cache IndexedDB situs tertentu.”
Sederhananya, situs web jahat dapat mempelajari identitas pengguna dan menautkannya ke beberapa akun terpisah yang menggunakan ID yang sama (Gmail, Google Kalender, Google Keep, YouTube, Google Documents, dan seterusnya, untuk melanjutkan contoh Google), para peneliti memperingatkan. Itu membuat penggunaan kredensial yang dicuri menjadi jauh lebih berbahaya.
Mengeksploitasi Bug Browser Safari 15
Mencapai kebocoran tidak memerlukan tindakan pengguna tertentu selain mengunjungi situs web berbahaya, peneliti memperingatkan.
“Tab atau jendela yang berjalan di latar belakang dan terus-menerus menanyakan API IndexedDB untuk database yang tersedia, dapat mempelajari situs web lain yang dikunjungi pengguna secara real-time,” menurut FingerprintJS. “Atau, situs web dapat membuka situs web apa pun di iframe atau jendela sembul untuk memicu kebocoran berbasis IndexedDB untuk situs tertentu itu.”
Di luar situs Google, perusahaan menemukan bahwa pengguna setidaknya 30 dari 1.000 teratas Alexa paling banyak -situs web yang dikunjungi juga dapat terpengaruh oleh kebocoran identitas.
“Hasilnya menunjukkan bahwa lebih dari 30 situs web berinteraksi dengan database yang diindeks secara langsung di beranda mereka, tanpa interaksi pengguna tambahan atau kebutuhan untuk mengautentikasi,” catat peneliti FingerprintJS. “Kami menduga jumlah ini secara signifikan lebih tinggi dalam skenario dunia nyata karena situs web dapat berinteraksi dengan database di subhalaman, setelah tindakan pengguna tertentu, atau pada bagian halaman yang diautentikasi.”
Para peneliti telah membuat proof-of-concept (PoC) demo yang menunjukkan bagaimana situs web jahat dapat mempelajari identitas akun Google dari setiap pengunjung.
Cara Melindungi Terhadap Kebocoran Apple
Insinyur Apple mulai mengerjakan bug pada hari Minggu, menurut FingerprintJS, yang melaporkan bahwa sejauh ini mereka telah menggabungkan perbaikan potensial. Tidak ada CVE yang dikeluarkan.
“Namun, bug tetap ada untuk pengguna akhir hingga perubahan ini dirilis,” para peneliti memperingatkan.
Sementara itu, hanya ada beberapa langkah yang dapat dilakukan pengguna untuk menangkis serangan apa pun. Yang pertama adalah hanya mengunjungi situs web tepercaya – meskipun yang paling aman pun berpotensi mengalami injeksi kode melalui skrip lintas situs (XSS) atau cara lain (meskipun risikonya jauh lebih rendah).
Selain itu, sesi mode pribadi di Safari 15 adalah terbatas pada satu tab, yang mengurangi tingkat informasi yang tersedia melalui kebocoran. Demikian pula, pengguna dapat dengan mudah memastikan hanya memiliki satu tab yang terbuka pada satu waktu. Meskipun demikian, jika pengguna mengunjungi "beberapa situs web berbeda dalam tab yang sama, semua basis data yang berinteraksi dengan situs web ini bocor ke semua situs web yang dikunjungi selanjutnya," firm.
memperingatkan Alternatif lain untuk pengguna Safari di Mac adalah dengan hanya beralih ke browser yang berbeda – meskipun pengguna iOS dan iPadOS kurang beruntung karena semua browser di iPhone/iPad terpengaruh.
“Sayangnya, tidak banyak yang dapat dilakukan pengguna Safari, iPadOS, dan iOS untuk melindungi diri mereka sendiri tanpa mengambil tindakan drastis,” simpul FingerprintJS. “Satu-satunya perlindungan nyata adalah memperbarui browser atau OS Anda setelah masalah diselesaikan oleh Apple.”
Apple tidak segera membalas permintaan komentar.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
