Bug Safari mengancam pencurian identitas untuk semua pengguna Mac, iPhone, iPad

Bug Safari Mengancam Pencurian Identitas Untuk Semua Pengguna Mac, iPhone, iPad

Selama bertahun-tahun, Apple telah menggembar-gemborkan privasi sebagai tema sentral untuk produknya. Safari, browser web default Apple, hadir dengan berbagai fitur privasi untuk mencegah situs web mengambil data yang terkait dengan kebiasaan menjelajah pengguna dan membuat persona yang dapat digunakan untuk menayangkan iklan kepada mereka di situs web dan platform lain termasuk — tetapi tidak terbatas pada — Google dan Facebook. Dengan Safari 15 yang diluncurkan sebelum macOS 12 Monterey dan iOS 15, Apple memperkuat fitur privasi ini termasuk Pencegahan Pelacakan Cerdas untuk menyembunyikan alamat IP dan alamat email pengguna dari situs web.

Namun, bug di Safari dan API WebKit Apple menempatkan keduanya — reputasi Apple untuk privasi serta data pengguna — dalam risiko dan mempengaruhi beberapa perangkat Apple termasuk iPhone, iPad, dan Mac.

Bug ini ditemukan oleh FingerprintJS, sebuah perusahaan yang menjual produk teknologi seperti alat sidik jari untuk admin web. Sesuai dengan World Wide Web Consortium, Sidik Jari adalah teknik yang digunakan oleh situs web untuk mengidentifikasi pengguna dan membaca serta mengumpulkan data mereka secara akurat bahkan ketika mereka telah mematikan cookie.

Bug Safari menunjukkan kebijakan web dasar

FingerprintJS mencatat bahwa bug di Safari 15 mengeksploitasi API IndexedDB untuk mencuri data pengguna. IndexedDB API didukung oleh sebagian besar browser web terbaru dan biasanya digunakan untuk menyimpan sejumlah besar data di sisi pengguna. Setiap kali pengguna menelusuri situs web, mereka berinteraksi dengan database situs web, yang tidak terlihat oleh situs web lain.

Untuk mencegah data pengguna yang penting dibagikan antar perangkat, banyak produk berbasis web mengikuti kebijakan Same-Origin (sebagaimana didefinisikan oleh Mozilla Foundation). Kebijakan tersebut membatasi interaksi antara komponen asal yang berbeda, yang pada dasarnya berarti bahwa sebuah situs web tidak akan membagikan data penting apa pun kepada situs web lain berdasarkan informasi pengguna.

BACA JUGA  Rekomendasi Laptop untuk Pekerja Kantoran, Semua di Bawah Rp 7 Juta!

Bug tersebut membantu produk web mengabaikan kebijakan asal yang sama, dan dapat memungkinkan penjahat berpotensi mencuri data yang terkait dengan identitas pengguna. Seiring dengan Safari 15 di macOS, bug memengaruhi semua browser web di setiap model iPhone dan iPad.

YouTube, Google Kalender di antara situs web yang rentan

Saat pengguna mengunjungi dan menjelajahi situs web apa pun, bug menggandakan basis data situs web dengan nama yang sama di setiap asal lainnya (didefinisikan di atas) — termasuk bingkai, tab, dan jendela. Dengan duplikasi database ini, setiap situs web lain yang dibuka di browser web dalam satu sesi dapat melihat data yang semula seharusnya dibatasi pada asal data. Ini memungkinkan situs web lain untuk mendapatkan akses ke cara pengguna berinteraksi dengan situs web lain.

Selain itu, beberapa situs web seperti Google Keep, YouTube, Google Kalender, dll. menggunakan pengenal pengguna unik. Pengidentifikasi ini berisi informasi tentang pengguna tertentu termasuk ID login mereka. Jika pengguna memiliki beberapa akun Google atau G Suite, maka situs web menggunakan database unik untuk setiap ID. Dalam skenario seperti ini, bug dapat dieksploitasi untuk berbagi lebih dari sekadar data tentang situs web mana yang dijelajahi pengguna. Bahkan tanpa niat jahat apapun, website lain setidaknya bisa melihat tampilan gambar yang terkait dengan akun Google pengguna.

Lebih buruk lagi, jika aktor jahat ingin memanfaatkan kelemahan ini, mereka dapat mengambil setiap data yang dipanggil oleh People API Google saat masuk ke situs web seperti YouTube, dan lainnya yang disebutkan di atas. Mereka bahkan dapat membuat profil pengguna dengan menggabungkan semua ID mereka dan kemudian mencoba mengambil alih akun menggunakan serangan yang ditargetkan. Tim mengatakan setidaknya 30 situs web teratas internet menggunakan kerangka kerja IndexedDB, yang membuat rentan terhadap kebocoran data.

BACA JUGA  Xiaomi Mi 11, Mi 11 Pro dan Mi 11 Ultra telah terjual lebih dari 3 juta unit di seluruh dunia.

Apple belum memperbaiki bug pada Safari

Tim juga telah membuat halaman web demo di safarileaks.com agar pengguna dapat memeriksa situs web mana yang bocor data pribadi mereka. Tangkapan layar akun saya dapat dilihat di bawah ini:

perusahaan mengatakan telah memberi tahu Apple melalui pusat Laporan Bug WebKit pada November 2021. Apple belum menambal kerentanan ini sehingga mungkin menjadi perhatian utama bagi pengguna iOS. Sementara itu, jika Anda menggunakan Safari di macOS, disarankan untuk beralih ke browser lain hingga Apple meluncurkan pembaruan dengan solusi.

 

Leave a Reply

Your email address will not be published. Required fields are marked *