Liputan6.com, Jakarta - Sebuah bug di peramban Safari 15 diyakini bisa mengungkap aktivitas browsing dan informasi pribadi yang tertaut di akun Google pengguna. Temuan ini dilaporkan oleh FingerprintJS, layanan sidik jari browser sekaligus pendeteksi penipuan.
Kerentanan ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah antarmuka pemrograman aplikasi (API) yang menyimpan data di browser pengguna.
Baca Juga
Mengutip The Verge, Selasa (18/1/2022), FingerprintJS menjelaskan, IndexedDB mematuhi kebijakan same-origin, yang membatasi sebuah origin untuk berinteraksi dengan data yang dikumpulkan di sumber lain. Seharusnya, hanya situs web yang menghasilkan data yang dapat mengaksesnya.
Advertisement
Dengan begitu, saat pengguna membuka akun email di satu tab, lalu membuka halaman web berbahaya di tab lain, kebijakan same-origin mencegah halaman berbahaya untuk melihat dan mencampuri alamat email pengguna.
FingerprintJS mendapati, aplikasi API IndexedDB Apple pada Safari 15 sebenarnya melanggar kebijakan same-origin.
Ketika sebuah situs web berinteraksi dengan database di Safari, FingerprintJS mengatakan, "Database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama."
Itu artinya, situs web lain dapat melihat nama database lainnya, yang bisa saja berisi detail khusus untuk identitas si pengguna.
* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
Ungkap Google User ID ke Situs Lain
FingerprintJS mencatat situs yang menggunakan akun Google pengguna seperti YouTube, Google, Calendar, dan Google Keep, semuanya menghasilkan database dengan Google User ID unik dalam namanya.
Google User ID unik ini memungkinkan Google untuk mengakses informasi pengguna yang tersedia untuk umum, seperti gambar profil yang bisa diekspos oleh bug Safari ke situs web lainnya.
FingerprintJS pun membuat demo bukti yang bisa dicoba oleh pengguna Safari 15 dan versi lebih baru di Mac, iPhone, atau iPad.
Demo menggunakan kerentanan IndexedDB browser ini bisa dipakai untuk mengidentifikasi situs apa saja yang telah dibuka pengguna.
Selain itu, demo tersebut juga bisa menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengikis informasi dari Google User ID.
Advertisement
30 Situs Terdampak
Saat ini FingerprintJS hanya mendeteksi 30 situs populer yang terpengaruh oleh bug, seperti Instagrram, Netflix, dan Xbox. Namun ke kemungkinan bug ini mempengaruhi lebih banyak layanan.
Parahnya, FingerprintJS menyebut, bug ini juga berdampak pada mode Private Browsing di Safari.
FingerprintJS telah melaporkan kebocoran tersebut ke WebKit Bug Tracker pada 28 November lalu, namun belum ada update untuk Safari. Pihak Apple pun tidak memberikan komentar ketika dimintai tanggapan.
(Tin/Isk)
Infografis Tentang Apple
Advertisement