To, že nezabezpečené API může způsobit mnoho škody, se v loni přesvědčila společnost Microsoft, když z portálů Power Apps se špatně nakonfigurovaným API došlo k úniku 38 miliónů záznamů obsahujících důvěrné informace. Bezpečnostní experti zjistili podobnou chybu i v API prohlížeče Safari.

Safari trpí závažnou chybou v API

API pro Safari ve verzi 15 obsahuje chybu v implementaci API IndexedDB. Indexované databáze, skripty a dokumenty stejného původu by neměly interagovat s objekty z jiných zdrojů. IndexedDB v API pro Safari ale toto pravidlo porušuje. Odborníci ze společnosti FingerprintJS zjistili, že pokaždé, když se webová stránka snaží komunikovat s databází, tak prohlížeč Safari 15 pro MAc, iOS a iPad vytvoří novou prázdnou databázi, která je ale sdílená pro všechny aktivní otevřené karty. Další problém je v tom, že nová databáze je vytvořená se stejným názvem jako ta původní, čímž útočník může mnohem lépe identifikovat citlivost dat, ke kterým přistupuje.

Bezpečnostní experti zjistili, že weby jako Youtube, Google Kalendář, nebo Google Keep vytvářejí databáze pracující s ID jako je například Gooogle User ID. Získání tohoto ID poslouží útočníkům ke sledování svých obětí. Problém se týká všech webových stránek, které využívají IndexedDB. Ochranu nezajistí ani to, když uživatel použije soukromý režim. Ten pouze dokáže zmírnit rozsah úniku dat, jelikož soukromý režim je aplikován vždy pro jednu kartu. Pokud ale navštívíte v rámci otevřené karty více webových stránek, vaše data jsou v ohrožení.

Společnost FingerprintJS tento problém nahlásila společnosti Apple 28. listopadu loňského roku. Do dnešního dne ale nebyla vydána pro prohlížeč Safari žádná bezpečnostní aktualizace. Vzhledem k tomu, že experti zveřejnili takzvaný kód proof-of-concept (PoC) včetně ukázky popisující chybu, je pravděpodobné, že se hackeři pokusí velmi rychle této chyby zneužít. Apple by tak měl opravu vydat co nejdříve. V tuto chvíli je jediným řešení vypnout v prohlížeči JavaScript, což ale bude mít za následek zhoršení uživatelského zážitku na webových stránkách. Uživatelé MacOS mohou také vyzkoušet alternativu v podobě jiného prohlížeče. Uživatelé mobilního iOS ale mají smůlu, jelikož všechny mobilní prohlížeče používají WebKit, takže i ty jsou touto chybou ovlivněny.

