Seorang jurutera perisian telah melaporkan satu pepijat serius yang dia temui pada pelan web Safari 15. Apabila kerentanan ini dieksploitasi, maklumat seperti sejarah laman web mana yang anda lawati dan ID unik akaun Google anda boleh diperoleh.
Sungguhpun kod akaun Google unik tidak menceritakan siapakah empunya akaun, dengan peralatan tertentu, pihak yang tak bertanggungjawab mampu mengekstrak gambar avatar berdasarkan kod unik dan melakukan carian berbalik imej (image reverse search) untuk membongkar identiti seseorang.
Apa yang hendak pelapor ceritakan, adalah tidak mustahil penggodam beroleh maklumat peribadi yang sensitif menggunakan kerentanan ini.
Kerentanan itu diperjelas secara lanjut di laman fingerprintjs. Ia melibatkan pepijat pada API IndexedDB. Sepatutnya, apabila seseorang pengguna itu melayari laman web, akan ada satu pengkalan data (DB) diwujudkan bagi setiap laman web itu.
Namun, disebabkan pepijat ini, DB yang diwujudkan adalah DB yang sama seperti laman web pada tab pertama pelayan Safari. Contohnya, bila anda layari laman web A, akan ada DB-A diwujudkan. Kemudian, bila anda buka laman web B, DB-A juga diwujudkan dan perkara sama berlaku untuk tab seterusnya.
Hasilnya, Safari 15 hanya gunakan DB-A saja untuk simpan maklumat-maklumat aktiviti melayari web anda lantas menjadikannya tidak selamat kerana melanggar polisi Same-origin.
Penemu pepijat ini sudahpun melaporkan isu ini kepada pihak pembangun Safari pada 15 Januari 2022 lalu. Sehingga hari ini masih belum ada tindakan daripada pihak berkenaan untuk menampal.
Buat sementara itu, sekiranya anda risau dengan pepijat ini, satu-satunya cara untuk anda tidak terkesan daripadanya adalah dengan tidak menggunakan pelayan web Safari sehinggalah isu ini dibaiki. Anda bolehlah menggunakan alternatif seperti Google Chrome buat sementara.
Sumber: Fingerprintjs
