2021. november 28-án azonosítottak az Apple által fejlesztett Safari böngésző 15-ös változatában egy hibát, mellyel a böngészőt használó netezők tevékenysége követhető, illetve személyes azonosítóik részben hozzáférhetők. Bár az Apple-nek jelezték a szoftver veszélyes hibáját, egyelőre nem érkezett javítás.

A hiba a Safari által használt IndexedDB nevű JavaScript API-ban található, és átjárást enged az adatok között az ezt az API-t használó weboldalaknak. Érthetőbben: ha IndexedDB-t használ a böngészőben a levelező, amit megnyitunk, akkor az API által rólunk ott a böngészőbe mentett adatokhoz hozzáférhet a következő oldal is, amit meglátogatunk. Normál esetben a weboldalak csak azokhoz az adatbázisokhoz férhetnek hozzá, amelyeket maguk generáltak, az Apple által nyitva hagyott ajtó ezekhez biztosít átjárást.

Ilyen, a Safari által sebezhetővé tett személyes adat például a Google felhasználói fiókhoz csatolt egyedi azonosító, melyet a Google generál azonosításunkra, például amikor megnyitjuk a YouTube-ot vagy a Gmailt. Ehhez a személyes kódhoz a hiba jóvoltából most más, akár rosszindulatú oldalak is hozzáférhetnek, írja a Verge.

Minden olyan böngésző érintett, amely a WebKit böngészőmotort használja. Mac számítógépeken ez a Safari 15-ös verziója, az iOS és iPadOS 15 rendszerek alatt viszont az összes webböngésző, mivel az Apple tiltja más motor használatát a mobil operációs rendszerein. Ha Safarit használ, a bugot felfedező FingerprintJS által létrehozott próbaoldalon tesztelheti a hibát.

(Borítókép:  Jaap Arriens / NurPhoto / Getty Images)