חברת FingerprintJS פרסמה מידע אודות באג חדש שאותר בדפדפן הספארי (Safari) של אפל, הקשור למימוש של ממשק ה-IndexedDB המשמש לאחסון מידע בדפדפני אינטרנט מודרניים ומאפשר לגלות את היסטוריית הגלישה של המשתמש ואת מזהה ה-Google ID שלו.
על מנת להבין את מהות הבאג החדש שאותר, צריך להבין תחילה את דרך פעולתו של ה-IndexedDB. בצורה הבסיסית ביותר שלו, מדובר בבסיס נתונים מקומי שנוצר על ידי הדפדפן לכל אתר בנפרד על מנת לאחסן מידע הרלוונטי לאתר עצמו על גבי מחשב המשתמש. וכאשר המימוש של ה-IndexedDB תקין, אין לאתר אחד אפשרות לגשת לבסיס המידע של אתר אחר שקיים על המחשב.
כאן למעשה נמצא הבאג החדש שאותר על ידי FingerprintJS. בעוד שכל דפדפן אינטרנט כיום עובד עם IndexedDB, המימוש של ממשק התוכנה (API) של IndexedDB בגרסת דפדפן הספארי 15 למחשבי המק ולמכשירי האייפד והאייפון לוקה בפגם המאפשר לתוקף פוטנציאלי לגשת לבסיסי נתונים של אתרים אחרים המאחוסנים במחשב ולגלות באמצעות כך את היסטוריית הגלישה של המשתמש. ובמקרה של אתרים המשתמשים בחשבון גוגל על מנת להיכנס אליהם, גם את ה-Google User ID, או מזהה הגוגל האישי שלהם, ממנו אפשר לדלות בהמשך מידע נוסף.
חברת FingerprintJS דיווחה על הבאג לאפל ב-28.11.21, אך מאחר ואפל לא תיקנה את הבאג עד היום, המידע עליו פורסם באופן פומבי. על מנת לבדוק האם הבאג קיים בדפדפן הספארי שלכם, אפשר להיכנס לאתר SafariLeaks.com היעודי שנוצר על ידי FingerprintJS.
למרות שלא מדובר בפרצת אבטחה חמורה, אלא בבאג שפוגע יותר בפרטיות המשתמשים, העובדה כי אפל לא תיקנה את בעיית מימוש ה-IndexedDB בדפדפן הספארי שלה לא משתנה.
