Telset.id, Jakarta – Sebuah bug di browser Safari dalam cara menangani IndexedDB API berpotensi membocorkan informasi tentang kebiasaan penelusuran pengguna, dan mengungkapkan identitas pengguna.
Apple terus berupaya menjadikan Safari berfokus pada privasi, dengan memperkenalkan inisiatif untuk mencegah pelacakan lintas situs dan Laporan Privasi Safari dimaksudkan untuk membantu melindungi pengguna.
Namun, bug yang ditemukan aplikasi Safari mungkin telah membatalkan semua upaya yang telah dilakukan oleh Apple.
Baca Juga: Spesifikasi iPhone 14 Makin Canggih
Sebuah posting blog FingerprintJS menunjukkan bahwa ada masalah dengan cara Apple menerapkan IndexedDB API di Safari 15.
Menurut para peneliti, bug tersebut dapat memungkinkan situs web apa pun untuk melacak aktivitas internet browser, dan berpotensi menentukan identitas mereka.
Bug di Browser Safari
Masalah ini ditemukan di IndexedDB. IndexedDB adalah API browser yang digunakan oleh browser web utama sebagai penyimpanan data seperti database.
Biasanya, penggunaan “kebijakan asal yang sama” akan membatasi data apa yang dapat diakses oleh sebuah situs web, dan biasanya membuat suatu situs hanya dapat mengakses data yang dihasilkannya, bukan data situs lain.
Baca Juga: iPhone 14 Pro Ada Kamera 48MP
Dalam kasus bug Safari 15 untuk macOS, iOS, dan iPadOS, ditemukan bahwa IndexedDB melanggar kebijakan asal yang sama.
Para peneliti mengklaim bahwa setiap kali situs web berinteraksi dengan basis datanya, basis data kosong baru menggunakan nama yang sama akan dibuat “di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browsing yang sama.”
Kebocoran ini jelas jadi masalah karena dapat memungkinkan situs web untuk mempelajari situs web lain yang dikunjungi pengguna di tab atau jendela yang berbeda dalam sesi yang sama.
Masalahnya diperburuk karena beberapa situs web menggunakan nama basis data yang menyertakan pengidentifikasi unik khusus untuk pengguna.
Untuk situs web yang dapat berbagi kredensial autentikasi yang sama, seperti Gmail dan YouTube, nama basis data dapat menyertakan ID Pengguna Google terautentikasi yang sama.
ID Pengguna Google tersebut digunakan sebagai pengenal internal dalam Google, dan terkait dengan satu akun.
Dimungkinkan juga untuk menarik informasi pribadi dari API Google menggunakan pengenal ini, yang dapat membantu situs mengidentifikasi pengguna sepenuhnya.
Baca Juga: Apple Buat Kantor Baru untuk Produksi Chip
Dalam pengujian, ditemukan bahwa database yang diindeks dengan pengenal unik universal dibuat oleh jaringan iklan. Namun, fitur pencegahan pelacakan Safari mencegah kebocoran nama database tersebut dengan cara ini.
Menggunakan jendela pribadi atau incognito mode tidak melindungi pengguna dari masalah tersebut, namun, sesi penelusuran terbatas pada satu tab, membatasi efeknya. Bug Safari ini mempengaruhi perangkat macOS, iOS 15 dan iPadOS 15. (HR)