브라우저 지문 및 사기 탐지 서비스인 FingerprintJS의 조사 결과에 따르면 Safari 15의 버그는 9to5Mac을 통해 Google 계정에 연결된 온라인 활동 및 일부 개인 정보를 드러낼 수 있습니다. 문제는 브라우저에 데이터를 저장하는 API인 IndexedDB의 Apple 구현과 관련이 있습니다.
모든 웹 데이터베이스와 마찬가지로 IndexedDB는 동일 출처 정책을 준수합니다. 이는 한 출처가 다른 출처에서 생성된 데이터와 상호 작용할 수 없음을 의미합니다. 동일 출처 정책은 한 탭에서 이메일 계정을 연 다음 다른 탭에서 유해한 사이트를 방문하는 경우 악성 페이지가 이메일을 보고 변조하는 것을 방지합니다.
Google 사용자 ID를 다른 사이트에 노출시키는 Safari 버그
FingerprintJS에 따르면 Safari 15에서 Apple의 IndexedDB API 구현은 동일 출처 정책을 위반합니다. 웹 사이트가 Safari의 데이터베이스와 상호 작용할 때 FingerprintJS는 “동일한 브라우저 세션 내의 다른 모든 활성 프레임, 탭 및 창에서 동일한 이름을 가진 새로운(빈) 데이터베이스가 생성된다”고 주장합니다.
이것은 다른 웹사이트가 다른 사이트에서 개발된 다른 데이터베이스의 이름을 볼 수 있음을 나타내며 여기에는 귀하의 신원에 대한 특정 정보가 포함될 수 있습니다. FingerprintJS는 YouTube, Google 캘린더, Google Keep 등 Google 계정을 사용하는 웹사이트를 식별합니다. Google 사용자 ID를 통해 Google은 프로필 이미지와 같이 공개적으로 사용 가능한 데이터에 액세스할 수 있으므로 Safari 취약점이 다른 웹사이트에 노출될 수 있습니다.
이것은 큰 버그입니다. OSX에서 Safari 사용자는 (일시적으로) 다른 브라우저로 전환하여 출처 간에 데이터가 누출되는 것을 방지할 수 있습니다. iOS 사용자는 Apple이 다른 브라우저 엔진을 금지하기 때문에 그러한 선택이 없습니다. https://t.co/aXdhDVIjTT
— 제이크 아치볼드(@jaffathecake) 2022년 1월 16일
인도 정부는 Chrome 사용자에게 보안 문제에 대해 경고합니다.
FingerprintJS는 Mac, iPhone 또는 iPad에 Safari 15 이상이 있는지 평가할 수 있는 개념 증명 데모를 만들었습니다. 데모에서는 브라우저의 IndexedDB 결함을 사용하여 귀하가 열었거나 최근에 열었던 사이트를 식별하고 결함을 이용하는 사이트가 Google 사용자 ID에서 정보를 수집할 수 있는 방법을 식별합니다. 현재 Instagram, Netflix, Twitter 및 Xbox와 같이 버그의 영향을 받는 30개의 주요 사이트만 감지하지만 훨씬 더 많은 영향을 미칠 것입니다.
불행히도 버그는 Safari의 개인 정보 보호 브라우징 모드에도 영향을 미치기 때문에 이에 대해 할 수 있는 일은 많지 않습니다. macOS에서 다른 브라우저를 사용할 수 있지만 모든 브라우저는 iOS에서 Apple의 타사 브라우저 엔진 금지의 영향을 받습니다. 11월 28일 FingerprintJS는 WebKit Bug Tracker에 누수를 보고했지만 Safari에 대한 업데이트는 아직 없습니다.