Gawat! Bug di Browser Safari Bisa Bocorkan Data Pribadi

Safari browser — Bug di Browser Safari Bisa Bocorkan Data Pribadi Foto: Internet

Jakarta -

Bug di browser Safari bisa membocorkan aktivitas browsing dan informasi pribadi yang terhubung dengan akun Google. Temuan ini dilaporkan oleh FingerprintJS, layanan browser fingerprinting dan deteksi penipuan.

Dalam postingan blognya, FingerprintJS mengatakan bug ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemograman aplikasi (API) yang menyimpan data di browser, seperti dikutip dari The Verge, Rabu (19/1/2022).

IndexedDB biasanya mengikuti kebijakan same-origin, di mana sebuah website hanya bisa mengakses database yang diciptakan oleh domain yang sama dengan namanya. Misalnya, jika kalian membuka email di satu tab dan membuka situs berbahaya di tab lainnya, kebijakan same-origin akan mencegah situs berbahaya untuk mengakses email kalian.

SCROLL TO CONTINUE WITH CONTENT

FingerprintJS menemukan bahwa implementasi API IndexedDB di Safari 15 ternyata melanggar kebijakan same-origin. Ketika sebuah website berinteraksi dengan database di Safari, FingerprintJS mengatakan database kosong baru dengan nama yang sama akan dibuat di frame, tab, dan jendela lainnya di sesi browser yang sama.

Artinya, website lainnya bisa melihat nama database lain yang dibuat di situs berbeda, yang bisa saja berisi data spesifik terkait identitas pengguna.

FingerprintJS mencontohkan, situs yang menggunakan akun Google seperti YouTube, Google Calendar, dan Google Keep semuanya membuat database dengan Google User ID yang unik. Google User ID ini memungkinkan Google untuk mengakses informasi publik yang tersedia, seperti foto profil, yang karena bug di Safari ini bisa terekspos ke website lainnya.

FingerprintJS juga membuat demo proof-of-concept yang bisa dicoba pengguna di Safari 15 atau versi lebih baru di Mac, iPhone, dan iPad. Demo ini menggunakan celah IndexedDB di browser untuk mengidentifikasi website yang dibukaa dan menujukkan bagaimana website bisa mengeksploitasi bug ini untuk mengambil informasi Google User ID pengguna.

Saat ini, demo tersebut hanya mendeteksi 30 situs populer yang terdampak, termasuk Instagram, Netflix, Twitter, dan Xbox. Kemungkinan lebih banyak webiste ikut terdampak, terutama yang menggunakan API IndexedDB.

Saat ini tidak ada yang bisa pengguna Safari lakukan karena bug ini terdeteksi di Safari untuk iPhone, iPad, dan Mac. Celah ini juga mempengaruhi mode Private Browsing di Safari.

FingerprintJS mengatakan mereka sudah melaporkan celah ini ke Apple pada 28 November 2021, tapi masih belum menerima respons.