Firma keamanan FingerprintJS (melalui 9to5Mac) menerbitkan laporan pada hari Jumat tentang bug yang ditemukan di browser seluler Safari versi iOS 15. Laporan tersebut menyatakan bahwa bug ini”memungkinkan situs web apa pun melacak aktivitas internet Anda dan bahkan mengungkapkan identitas Anda.”Bug yang ditemukan di Application Programming Interface (API) yang digunakan dan didukung oleh sebagian besar browser dapat digunakan oleh penyerang untuk mengetahui banyak hal tentang Anda. API digunakan oleh programmer untuk menghubungkan bagian dari perangkat lunak ke perangkat lunak lain sehingga lebih mudah untuk dikembangkan program. Salah satu API tersebut, yang disebut IndexedDB, didukung oleh sebagian besar browser utama dan menyimpan apa yang disebut laporan sebagai”sejumlah besar data.”
Safari di iOS 15 dan iPadOS 15 memiliki bug yang dapat dimanfaatkan untuk mengungkap data pribadi Anda
Bug di iOS 15, iPadOS 15, dan macOS memungkinkan situs web acak untuk mengetahui situs lain yang dikunjungi pengguna di jendela dan tab lain. Itu dimungkinkan karena situs seperti YouTube, Google Kalender, dan Google Keep menggunakan”pengidentifikasi khusus pengguna yang unik”dalam nama basis data mereka. Akibatnya, pengguna yang diautentikasi dapat diidentifikasi karena situs yang disebutkan di atas membuat database yang menyertakan ID Pengguna Google milik pengguna, dan database dibuka untuk semua akun yang digunakan.
ID Pengguna Google mengarahkan penyerang untuk banyak data pribadi. Masing-masing dapat digunakan untuk mengidentifikasi akun Google tertentu dan dalam kombinasi dengan Google API, setidaknya dapat mengungkapkan gambar profil Anda kepada peretas. Ini juga dapat membantu penyerang mengambil lebih banyak informasi pribadi dan mengungkap”beberapa akun terpisah”yang dimiliki oleh pengguna yang sama.
Sayangnya, mempelajari informasi pribadi Anda tidak mengharuskan Anda melakukan tindakan tertentu seperti laporan menyatakan”Sebuah tab atau jendela yang berjalan di latar belakang dan terus-menerus menanyakan API IndexedDB untuk database yang tersedia, dapat mempelajari situs web lain yang dikunjungi pengguna secara real-time. Atau, situs web dapat membuka situs web apa pun di iframe atau jendela sembulan untuk memicu kebocoran berbasis IndexedDB untuk situs tertentu itu.”
FingerprintJS memeriksa 1.000 situs teratas yang dikunjungi Alexa dan menemukan bahwa 30 berinteraksi dengan database yang diindeks langsung di beranda mereka, tanpa interaksi atau autentikasi apa pun yang diperlukan oleh pengguna. Bahkan jika seseorang menggunakan mode pribadi di Safari, jika dia mengunjungi beberapa situs web menggunakan tab yang sama, semua basis data yang berinteraksi dengannya akan bocor ke situs yang kemudian dikunjungi pengguna.
Apakah ada cara untuk menghindari bug ini?
Tidak banyak yang dapat dilakukan pengguna Safari jika dia menjalankan iOS 15 atau iPadOS 15. Satu saran adalah memblokir semua JavaScript secara default dan hanya izinkan di situs yang 100% tepercaya. Pengguna Mac dapat beralih browser untuk menghindari bug ini, tetapi ini bukan solusi di iOS 15 atau iPadOS 15. Kami harus menunjukkan bahwa bug tersebut dikirimkan oleh FingerprintJS ke WebKit Bug Tracker pada 28 November 2021, sebagai bug 233548.
Jika Anda ingin memeriksanya di iPhone atau iPad Anda, buka Safari dan arahkan ke safarileaks.com dan ikuti petunjuk sederhananya. Cepat (terlalu cepat), nama situs terakhir yang Anda kunjungi muncul (jika itu adalah salah satu situs yang terdaftar di halaman Demo) dan ID Pengguna Google unik Anda dapat diakses. Terus terang, satu-satunya solusi yang Anda miliki adalah menunggu agar Apple memperbarui perangkat lunak iOS dan iPadOS dan pastikan untuk menginstalnya segera setelah dirilis. Sekali lagi, jika Anda menggunakan Mac, mengubah browser adalah opsi yang valid meskipun tidak demikian dengan iOS dan iPadOS. Dan perlu diingat bahwa pengguna tidak perlu melakukan tindakan spesifik apa pun untuk menonaktifkan bug.
