Bug di Safari 15 adalah bug pada browser seluler Apple yang menurut informasi mengancam keamanan. Bug ini kabarnya dapat membocorkan rahasia setiap pengguna yang melakukan aktivitas penelusuran, baik informasi pribadi yang terlampir ke Google atau lainnya.
Karena adanya bug di iOS 15, iPadOS 15, hingga MacOS, sehingga celah tersebut memungkinkan situs web mengetahui situs lainnya
Apple telah memiliki nama dan kepercayaan dari para pengguna terkait keamanan sistem operasinya.
Namun baru-baru ini tercium layanan sidik jari browser yang bertugas pendeteksian penipuan. FingerprintJS mengungkapkan dari penelitian tersebut bahwa terdapat bug di browser milik Apple.
Baca Juga: Bug di Wifi iPhone Membuat Masalah, Ini Cara Memperbaikinya
Apa Pengaruh dan Bahaya Bug di Safari 15 Apple?
Menurut informasi, Apple tengah memberikan pembaharuan sistem keamanan di Safari. Sayangnya, memunculkan bug yang cukup membahayakan.
Hal ini terungkap pertama kali oleh Fingerprint JS. Ia mengungkapkan bahwa kerentanan tersebut berasal dari adanya masalah implementasi pada IndexedDB yang dikembangkan Apple.
IndexedDB merupakan sebuah antarmuka pemrograman aplikasi yang mampu merekam dan menyimpan semua data pribadi di browser pengguna.
Intinya bug memungkinkan situs web apapun itu sehingga bisa melacak aktivitas browsing dan identitas dari pengguna.
Antarmuka pemrograman aplikasi atau API merupakan sekumpulan perintah, protokol, maupun fungsi yang seorang programmer pakai ketika membuat perangkat lunak untuk sistem operasi.
Melansir dari The Verge, FingerprintJS mengungkap IndexedDB mematuhi peraturan kebijakan same origin.
Hal tersebut membatasi sebuah origin untuk berinteraksi dengan data yang bersumber dari data lain.
Karena yang benar adalah situs web mendapatkan datanya saja dan mampu mengaksesnya dengan mudah. Ini karena adanya bug di Safari 15.
Sehingga saat para pengguna membuka akun email pada satu tab tertentu kemudian membuka halaman web yang mengancam atau berbahaya pada tab lain, kebijakan same origin mencegahnya. Sehingga tidak melihat dan mencampuri alamat email pengguna.
Aplikasi API IndexedDB Melanggar Kebijakan
FingerprintJS memperoleh aplikasi API IndexedDB di Safari 15 yang melanggar kebijakan same-origin.
Baca Juga: Bug WhatsApp di iPhone Trending di Twitter, Apa penyebabnya?
Saat situs web tertentu berinteraksi dengan database di Safari dan database baru kosong dengan nama sama ada pada semua bingkai atau tab maupun jendela aktif di browser sama, hal ini jelas menunjukkan bahwa situs web lainnya dapat melihat secara jelas nama database lainnya.
Sehingga kemungkinan sampai pada detail identitas para pengguna. IndexedDB mengikuti kebijakan same origin yang bisa mengakses database diciptakan domain yang sama dengan nama.
Ungkap ID Pengguna Google ke Situs Lain
Tak sampai di sini saja, FingerprintJS telah memiliki catatan khusus terkait situs yang menggunakan akun Google. Seperti Google Calendar, YouTube, dan Google Keep.
Dari sekian situs, semuanya menghasilkan basis data dengan catatan ID pengguna Google unik dalam nama tersebut.
Pada dasarnya, ID pengguna Google memberikan kemudahan dalam mengakses informasi yang tersedia untuk umum. Misalnya pada gambar profil. Hal ini dapat terekspos oleh bug di Safari 15 ke situs web lainnya.
Terkait dengan hal tersebut, FingerprintJS membuktikan melalui sebuah demo memakai kerentanan pada IndexedDB browser demi mengidentifikasi situs yang akan dibukanya.
Sehingga menunjukkan bagaimana situs mengeksploitasi bug yang dapat mengambil semua informasi dari user ID Google.
Baca Juga: Ancaman Bug Log4Shell, Malware Pencuri Crypto Berbahaya
Jumlah Situs Terdampak Bug
Melalui demo, FingerprintJS menemukan 30 situs populer yang terdeteksi mendapatkan pengaruh bug di Safari 15.
Situs tersebut adalah layanan streaming Netflix, Twitter, Xbox, dan Instagram. Demo yang dijalankan tersebut pada pengguna yang memiliki Safari 15 serta lebih baru di iPhone atau iPad dan Mac.
Selain itu, apabila pengguna belum dapat mengatasi masalah tersebut, sebaiknya memakai browser yang lainnya di macOS.
Dengan adanya larangan mesin browser pihak ketiga Apple di iOS, hal ini menunjukkan bahwa semua browser juga teridentifikasi terkena pengaruhnya.
Laporan dari FingerprintJS bahwa kebocoran tersebut ke WebKit Bug Tracker pada 28 November lalu, namun belum ada konfirmasi pembaruan terkait hal itu.
The Verge pada kesempatan lalu menghubungi Apple untuk meminta tanggapan terkait temuan. Namun memang sama, belum ada respon terkait hal ini.
Melansir dari 9to5mac, pihak FingerprintJS melaporkan dugaan bug tersebut yang bisa membocorkan akun Google ke WebKit Bug Tracker. Memang hingga kini belum ada konfirmasi dari bug di Safari 15 tersebut. (R10/HR-Online)
