Apple Lagi Tambal Celah Keamanan Safari yang Bisa Bocorkan ID Google

Apple Lagi Tambal Celah Keamanan Safari yang Bisa Bocorkan ID Google

Adi Fida Rahman - detikInet
Kamis, 20 Jan 2022 07:17 WIB
Browser Safari
Foto: 9to5Mac
Jakarta -

Laporan FingerprintJS belum lama ini mengungkap adanya celah keamanan berbahaya pada browser Safari di semua platform Apple yang memungkinkan siapapun mengekstrak riwayat penelusuran dan bahkan ID Google. Menanggapi temuan ini, Apple mengakui adanya masalah tersebut dan saat ini tengah berupaya memperbaiki.

Diharapkan Apple akan segera merilis pembaruan keamanan untuk semua perangkat dalam waktu dekat. Engineer Apple kabarnya sedang memperbaiki inti Safari yang membocorkan data pengguna melalui bantuan Webkit.

Untuk diketahui Webkit ini adalah komponen kunci yang membantu pembuatan browser seperti Safari, Chrome, Firefox, Edge dan lainnya. Karena Webkit ini open source, pembaruan terkait bug akan dipublikasi di GitHub.

Lebih khusus lagi, celah keamanan pada Safari berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemograman aplikasi (API) yang menyimpan data di browser.

IndexedDB biasanya mengikuti kebijakan same-origin, di mana sebuah website hanya bisa mengakses database yang diciptakan oleh domain yang sama dengan namanya. Misalnya, jika kalian membuka email di satu tab dan membuka situs berbahaya di tab lainnya, kebijakan same-origin akan mencegah situs berbahaya untuk mengakses email kalian

FingerprintJS menemukan bahwa implementasi API IndexedDB di Safari 15 ternyata melanggar kebijakan same-origin. Ketika sebuah website berinteraksi dengan database di Safari, FingerprintJS mengatakan database kosong baru dengan nama yang sama akan dibuat di frame, tab, dan jendela lainnya di sesi browser yang sama.

Artinya, website lainnya bisa melihat nama database lain yang dibuat di situs berbeda, yang bisa saja berisi data spesifik terkait identitas pengguna.

FingerprintJS mencontohkan, situs yang menggunakan akun Google seperti YouTube, Google Calendar, dan Google Keep semuanya membuat database dengan Google User ID yang unik. Google User ID ini memungkinkan Google untuk mengakses informasi publik yang tersedia, seperti foto profil, yang karena bug di Safari ini bisa terekspos ke website lainnya.

FingerprintJS juga membuat demo proof-of-concept yang bisa dicoba pengguna di Safari 15 atau versi lebih baru di Mac, iPhone, dan iPad. Demo ini menggunakan celah IndexedDB di browser untuk mengidentifikasi website yang dibukaa dan menujukkan bagaimana website bisa mengeksploitasi bug ini untuk mengambil informasi Google User ID pengguna.

Saat ini, demo tersebut hanya mendeteksi 30 situs populer yang terdampak, termasuk Instagram, Netflix, Twitter, dan Xbox. Kemungkinan lebih banyak webiste ikut terdampak, terutama yang menggunakan API IndexedDB.

Saat ini tidak ada yang bisa pengguna Safari lakukan karena bug ini terdeteksi di Safari untuk iPhone, iPad, dan Mac. Celah ini juga mempengaruhi mode Private Browsing di Safari.

Jadi sampai Apple menghilangkan bug, baiknya kamu menggunakan browser yang berbeda atau menonaktifkan JavaScript untuk situs web yang tidak dipercayai.

Apple sejauh ini belum memberikan perincian tentang kapan akan merilis update perbaikan. Tetapi seperti yang dikutip darisafar MacRumors, rilis tersebut akan segera tersedia untuk umum bersama dengan perubahan pada Safari dan mesin WebKit baru.



Simak Video "Selamat Tinggal, iPod Touch!"
[Gambas:Video 20detik]
(afr/afr)