본문 바로가기
  • Godicc's IT에 방문해주셔서 감사합니다
Apple/News

Safari, 개인 정보 유출 가능한 버그 발생 ... 모든 WebKit 브라우저 해당

by 고딕 Godicc 2022. 1. 17.
728x90

이 버그는 iOS 15, iPadOS 15 및 Mac용 Safari 15 버전을 포함해 애플의 오픈소스 브라우저 엔진 WebKit을 사용하는 최신 브라우저에서 해당됩니다.

이 버그는 Safari만 해당되는 것이 아니며 iOS 15 및 iPadOS 15의 Chrome과 같은 타사 브라우저에도 해당됩니다.

해당 문제는 iOS 14, iPadOS 14 및 Safari 14에서는 해당되지 않습니다.

IndexedDB를 사용하는 모든 웹사이트에 사용자가 접속하면 접속한 웹사이트는 다른 웹사이트에서 생상된 IndexedDB의 이름에 접근할 수 있다고 합니다.

이 버그는 DB의 이름이 종종 웹사이트 이름으로 설정되어 있기 때문에 사용자가 어떤 사이트에 접속했는지 확인할 수 있게 됩니다.

정상적인 동작은 접속한 웹사이트가 자체 IndexedDB에만 접근할 수 있어야 합니다.

일부 경우에 따라 웹사이트는 IndexedDB 이름에 고유 사용자명을 사용하는 경우도 있습니다.

Youtube의 경우 사용자의 인증된 Google User ID가 포함된 DB 이름을 짓고, FingerprintJS에 따르면 이 식별자를 Google API와 함께 사용해 사용자의 프로필 사진 등이 담긴 Google 프로필을 가져올 수 있다고 합니다.

접속한 웹사이트에서 다른 웹사이트에서 생성된 IndexedDB에 접근하는데는 사용자 요청이 전혀 필요하지 않습니다.

백그라운드에서 실행되고 사용 가능한 DB에 대해 IndexedDB API를 계속 쿼리하는 탭은 사용자가 실시간으로 다른 웹사이트에 방문하는 것을 확인할 수 있습니다.

또는 웹사이트가 특정 사이트에 대한 IndexedDB 유출을 트리거 하기 위해 iframe 또는 팝업 창에서 웹사이트를 열 수 있다고 합니다.

유출된 정보는 https://safarileaks.com/ 에서 확인할 수 있습니다.

728x90

댓글