iOS, iPadOS 및 Mac에서 FingerprintJS(9To5Mac을 통해)에 의해 새로운 Safari 버그가 발견되었습니다. 이 버그는 로그인한 Google 계정에 대한 일부 정보 외에 최근 검색 기록에 대한 정보를 공개할 수 있습니다.
버그는 세 가지 Apple 운영 체제 모두에서 Safari의 IndexedDB 구현에 있습니다. 분명히 웹 사이트는 모든 도메인의 데이터베이스 이름을 볼 수 있습니다. 일반적으로 웹 사이트는 자체 도메인의 데이터베이스 이름만 볼 수 있으므로 이는 확실히 보안 문제입니다. 데이터베이스 이름은 조회 테이블에서 정보를 추출하는 데 사용할 수 있습니다.
이 정보를 사용하면 최근 검색 기록이 표시될 수 있습니다. 또한 Google 서비스는 로그인한 각 계정에 대해 IndexedDB 인스턴스를 저장하기 때문에 계정 이름도 공개될 수 있습니다.
누군가 이 정보로 할 수 있는 한, 그들은 귀하의 Google ID를 스크랩한 다음 귀하에 대한 다른 개인 정보를 찾는 데 사용할 수 있습니다.
작동 중인 버그를 보려면 Mac, iPad 또는 iPhone의 Safari 브라우저에서 safarileaks.com을 방문하십시오. Mac의 다른 브라우저에서 시도하면 “귀하의 브라우저는 영향을 받지 않습니다. macOS의 Safari 15 또는 iOS 및 iPadOS 15의 모든 브라우저에서 이 데모를 여십시오.” iPad 또는 iPhone을 사용하는 경우 어느 쪽이든 작동합니다.
FingerprintJS는 2021년 11월 28일 Apple에 처음 버그를 보고했지만 문제는 아직 해결되지 않았습니다. 바라건대, 문제가 공개된다는 압박감으로 인해 Apple이 문제를 해결하도록 할 것입니다.
