New Unpatched Apple Safari Browser Bug Allows Cross-Site User Tracking
애플 사파리 15에서 구현된 IndexedDB API에서 소프트웨어 버그가 발견되었습니다. 이 취약점이 악용될 경우 악성 웹사이트에서 사용자의 웹 브라우저를 통해 온라인 활동을 추적하고, 심지어는 이들의 신원을 알아낼 수도 있는 것으로 나타났습니다.
IndexedDB Leaks라 명명된 이 취약점은 사기 방지 소프트웨어 회사인 FingerprintJS에서 공개했으며, 지난 2021년 11월 28일 애플 측에 이 문제를 제보했습니다.
IndexedDB는 웹 브라우저에서 제공하는 저수준 JavaScript 응용 프로그래밍 인터페이스(API)로 파일 및 Blob과 같은 구조화된 데이터 개체의 NoSQL 데이터베이스를 관리하기 위해 사용됩니다.
모질라는 API 문서를 통해 아래와 같이 밝혔습니다.
"대부분의 웹 스토리지 솔루션과 마찬가지로, IndexedDB 또한 동일 출처 정책을 따릅니다.”
"따라서 도메인 내에 저장된 데이터에 접근이 가능하지만, 다른 도메인의 데이터에는 접근이 불가능합니다.”
동일 출처는 기본적인 보안 메커니즘으로 별개의 출처(예: 스키마(프로토콜), 호스트(도메인), URL의 포트 번호 조합)에서 검색된 리소스가 서로 격리되도록 합니다.
따라서 "http[:]//example[.]com/"과 "https[:]//example[.]com/"은 서로 다른 스키마를 사용하기 때문에 동일한 출처가 아님을 의미합니다.
한 출처에서 로드한 스크립트가 다른 출처의 리소스와 상호 작용하는 방식을 제한함으로써, 악성 웹사이트가 다른 도메인에서 데이터를 읽기 위해 임의 JavaScript 코드를 실행하는 것을 방지함으로써 잠재적으로 악의적인 스크립트를 격리하고, 잠재적인 공격 벡터를 줄입니다.
하지만 iOS, iPadOS, macOS의 사파리에서 IndexedDB API를 처리하는 방법은 그렇지 않습니다.
Martin Bajanik은 아래와 같이 밝혔습니다.
"macOS의 사파리 15와 iOS 및 iPadOS 15의 모든 브라우저에서 IndexedDB API가 동일 출처 정책을 위반하고 있었습니다.”
"웹 사이트가 데이터베이스와 상호 작용할 때마다, 동일한 브라우저 세션 내의 다른 모든 활성 프레임, 탭, 창에 동일한 이름의 새(빈) 데이터베이스가 생성됩니다."
이로 인해 웹사이트에서 사용자가 다른 탭이나 창에서 어떤 다른 웹사이트를 방문하는지 알 수 있게 됩니다. 유튜브, 구글 캘린더와 같은 구글 서비스에서는 단일 구글 계정을 고유하게 식별하는 내부 식별자인 인증된 구글 사용자 ID를 포함하는 IndexedDB 데이터베이스를 생성하기 때문에 사용자를 정확히 식별할 수 있습니다.
Bajanik은 "이는 신뢰할 수 없거나 악의적인 웹사이트가 사용자의 신원을 알아낼 수 있을 뿐만 아니라 동일한 사용자가 사용하는 개별 계정 여러개를 함께 연결할 수 있다는 이야기입니다.”라 밝혔습니다.
더욱 심각한 점은 사용자가 브라우저 창의 동일한 탭 내에서 여러 다른 웹사이트를 방문할 경우 사파리 15의 개인 브라우징 모드 또한 이 취약점의 영향을 받습니다. The Hacker News에서는 이에 대해 애플 측에 코멘트를 요청한 상황입니다.
구글 크롬 개발자인 Jake Archibald는 트위터를 통해 아래와 같이 밝혔습니다.
"이는 엄청난 버그입니다.”
“OSX에서 사파리 사용자는 다른 브라우저를 사용하여 출처 간 데이터 유출을 막을 수 있습니다. 애플은 iOS에서 다른 브라우저 엔진을 금지하기 때문에 선택의 여지가 없습니다.”
출처:
https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html
https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/
FIN8 해킹 그룹과 연결된 새로운 White Rabbit 랜섬웨어 발견 (0) | 2022.01.19 |
---|---|
전문가들, SFile 랜섬웨어의 새로운 리눅스 변종 경고 (0) | 2022.01.18 |
Goodwill, ShopGoodwill 플랫폼에서 데이터 침해 발생 사실 밝혀 (0) | 2022.01.17 |
Microsoft Windows HTTP 프로토콜 스택 원격코드실행 취약점(CVE-2022-21907) 주의! (0) | 2022.01.17 |
우크라이나 정부 및 기업을 노리는 새로운 파괴적인 악성코드 발견 (0) | 2022.01.17 |
댓글 영역