Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
iOS / 보안

"활동 내역과 개인정보 들여다본다" 사파리 15 취약점 발견

Michael Simon  | Macworld 2022.01.18
애플이 반복되는 충돌 오류에 대한 패치를 적용한 지 정확히 하루 후 인터넷 활동 내역과 개인 데이터를 공개 웹 사이트에 노출하는 사파리 브라우저 취약점이 발견됐다. 
 
ⓒ IDG

IndexedDB API에서 시작된 이 버그는 모질라에 따르면 상당한 양의 구조화된 데이터의 클라이언트 스토리지에 사용된 것이다. 핑거프린트JS가 처음 발견한 이 취약성의 버그는 IndexedDB 모든 주요 브라우저에서 사용되는 저레벨 API이므로 많은 개발자가 사용 편의와 개발자 친화적인 API를 공급하고 추상적인 기술을 포장하는 데 사용한다.

핑거프린트JS는 사파리의 IndexedDB 버전은 하나의 출처에서 불러온 문서나 스크립트가, 출처가 다른 자원과 상호작용하는 방식을 규정하는 동일 출처 보안 메커니즘을 위반한 것라고 설명한다. 따라서 임의의 웹 사이트가 다른 탭이나 윈도우에서 사용자가 방문하는 타 웹 사이트 활동을 탐색할 수 있다는 의미다.
핑거프린트JS는 일부 웹 사이트는 데이터베이스 이름에 사용자마다 다른 고유 식별자를 사용하므로 인증된 사용자라면 유튜브, 구글 캘린더, 구글 킵 등의 사이트에서 정확하게 식별될 수 있다고 주장한다. 구글 ID로 로그인하는 사이트의 경우, 해당 계정에서 생성된 데이터베이스가 유출될 수 있고 여기에는 물론 개인정보도 포함된다. 핑거프린트JS는 트위터, 블룸버그 통신 등 이번에 발견된 사파리 버그에 취약한 다른 여러 사이트를 발견했다.

핑거프린트JS에서 만든 시연 영상으로 버그의 작동 방식을 확인할 수 있다. 이번 취약점의 완화 방법은 맥OS의 전용 브라우저를 변경하는 것이다. iOS와 아이패드OS는 애플의 브라우저 엔진 처리로 옵션이 적지만, 핑거프린트JS는 사용자가 모든 자바스크립트를 차단하고 신뢰할 수 있는 사이트에서만 허용할 수 있다고 말한다. 향후 출시될 iOS 15.3과 맥OS 12.2에서 사파리 버그가 수정될지는 확실하지 않지만, 업데이트가 배포될 때까지 기다리는 것도 방법이다.
editor@itworld.co.kr 
 Tags 사파리15
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.