ในเดือนพฤศจิกายน 2564 รายงานข้อผิดพลาดของ Safari ที่เป็นอันตรายต่อความเป็นส่วนตัวของผู้ใช้ถูกครอบตัดทางออนไลน์ บั๊กของ Safari 15 IndexedDB ส่งผลกระทบต่อผู้ใช้ Safari ในอุปกรณ์หลายเครื่อง ทำให้เว็บไซต์สามารถเข้าถึงข้อมูลฐานข้อมูลที่ไม่ควรทำได้
โดยพื้นฐานแล้ว นี่หมายความว่าเว็บไซต์ที่คุณเยี่ยมชมบน Safari สามารถดูเว็บไซต์อื่นๆ ที่คุณเคยเยี่ยมชมได้เช่นกัน เราจะอธิบายสิ่งที่คุณทำได้เพื่อหยุดที่ด้านล่าง
ข้อผิดพลาดของ Safari 15 ตัวนี้ทำอะไรได้บ้าง
ตามรายงานจาก FingerprintJS IndexedDB API ละเมิดนโยบายที่มาเดียวกันใน Safari 15 บน iPhone, iPad และ Mac ด้วยช่องโหว่นี้ เว็บไซต์ที่ผู้ใช้ Safari เข้าชมจะสามารถดูเว็บไซต์ที่เปิดอยู่อื่นๆ บนแท็บหรือหน้าต่างของเว็บไซต์ได้
นอกจากนี้ จุดบกพร่องยังเปิดเผยชื่อฐานข้อมูลสำหรับโดเมนใดๆ ซึ่งแฮกเกอร์สามารถใช้เพื่อดึงข้อมูลระบุตัวตนให้คุณได้ แม้ว่าการเข้าถึงเนื้อหาจริงของแต่ละฐานข้อมูลยังคงถูกจำกัด แต่การดึงข้อมูลโดยใช้ช่องโหว่นี้ยังคงก่อให้เกิดความกังวลได้
FingerprintJS ตั้งข้อสังเกตว่าแฮกเกอร์สามารถกำหนดเป้าหมายผู้ใช้โดยรับข้อมูลเบราว์เซอร์ผ่าน ID ผู้ใช้ Google การใช้ไซต์เช่น YouTube, Google ปฏิทิน เป็นต้น ผู้ใช้ Safari ตกอยู่ในอันตรายจากการเปิดเผยข้อมูลสาธารณะของตนต่อเว็บไซต์อื่นโดยไม่ให้ความยินยอม
นอกจากนี้ ช่องโหว่นี้ยังช่วยให้เว็บไซต์สามารถรวมบัญชีที่ไม่เกี่ยวข้องเข้าด้วยกันภายใต้โปรไฟล์ออนไลน์ของคุณ สำหรับผู้ที่ต้องการกระจายอำนาจข้อมูลประจำตัวทางออนไลน์ การดำเนินการนี้อาจสร้างปัญหาได้
หากคุณอยากลองใช้งานด้วยตัวเอง FingerprintJS ก็ได้เปิดตัวการสาธิตแบบสด ซึ่งจำลองการทำงานของช่องโหว่นี้กับเว็บไซต์ที่เข้าชมบ่อย 30 แห่ง
ในการสาธิต ผู้ใช้ Safari สามารถดูจำนวนฐานข้อมูลที่รั่วไหลจากเบราว์เซอร์ตามเว็บไซต์ที่พวกเขาเข้าชม หากเป็นไปได้ การสาธิตจะเปิดเผย ID ผู้ใช้ Google และรูปโปรไฟล์ที่ไม่ซ้ำกันของคุณด้วย
เมื่อวันที่มกราคม 2022 วิศวกรของ Apple ได้เริ่มทำงานเพื่อแก้ไขปัญหาดังที่แสดงใน GitHub ตามหลักการแล้ว Safari จะสามารถจำกัดเว็บไซต์ไม่ให้เห็นฐานข้อมูลที่สร้างโดยชื่อโดเมนเดียวกันกับฐานข้อมูลของตัวเอง ในขณะที่เขียน Safari เวอร์ชันปัจจุบันทั้งหมดบน iPhone, iPad และ Mac กำลังประสบปัญหา
อัปเดต: เมื่อวันที่ 27 มกราคม 2022 Apple ได้เปิดตัว iOS 15.3 ซึ่งสัญญาว่าจะแก้ไขข้อบกพร่องด้านความปลอดภัยด้วย Safari 15 อัปเดตอุปกรณ์ Apple ของคุณเป็นการอัปเดตซอฟต์แวร์ล่าสุดที่มีให้ได้รับประโยชน์จากการแก้ไขนี้
คุณทำอะไรได้บ้างเพื่อปกป้องตัวเองจากบั๊ก Safari 15 ตัว
ในระหว่างนี้ ผู้ใช้ Safari สามารถใช้วิธีแก้ไขปัญหาชั่วคราวที่อาจเกิดขึ้นได้ในขณะที่ช่องโหว่ยังคงมีอยู่ มีเพียงบางสิ่งที่ผู้ใช้ Safari สามารถทำได้เพื่อปกป้องตัวเองจนกว่า Apple จะแก้ไขปัญหา Safari ด้วยการอัปเดตได้:
ลบข้อมูลที่เปิดเผยต่อสาธารณะ
เนื่องจากบั๊กของ Safari 15 ใช้ประโยชน์จากฐานข้อมูลอย่างแข็งขัน จึงควรลดการเข้าถึงข้อมูลที่รวบรวมได้ ดังนั้น แม้ว่าคุณจะไม่สามารถทำให้ Google ID ของคุณหายไปได้ คุณยังสามารถทำให้ข้อมูลเชื่อมโยงน้อยลงได้ ตัวอย่างเช่น คุณสามารถลบรูปโปรไฟล์ Google และเปลี่ยนชื่อในบัญชี Google ของคุณชั่วคราวได้
ทำงานเกี่ยวกับการกระจายข้อมูลส่วนบุคคลของคุณ
แม้ว่าจุดบกพร่องใหม่นี้สามารถเชื่อมโยงบัญชีออนไลน์ที่แยกจากกันใน Safari ได้ แต่ก็เป็นไปได้ที่แฮกเกอร์จะดึงข้อมูลที่เป็นประโยชน์จากบัญชีเหล่านั้นได้ยากขึ้น เพื่อให้บรรลุสิ่งนี้ เป็นการดีที่สุดที่จะกระจายข้อมูลส่วนบุคคลของคุณอย่างแข็งขัน ซึ่งคุณสามารถทำได้โดยการสร้างที่อยู่อีเมลหลายรายการ หลีกเลี่ยงการลงชื่อเพียงครั้งเดียวในบริการ และอื่นๆ
หลีกเลี่ยงการเรียกดูที่ไม่จำเป็น
จนกว่า Apple จะแก้ไขข้อผิดพลาดของ Safari 15 คุณอาจต้องการใช้เวลาน้อยลงกับเว็บไซต์สุ่มที่คุณไม่จำเป็นต้องเชื่อถือข้อมูลของคุณ ที่จริงแล้วยังไม่มีการรับประกันว่าเว็บไซต์ที่มีชื่อเสียงมากกว่าจะไม่พยายามใช้ประโยชน์จากช่องโหว่นี้ ด้วยเหตุนี้ คุณอาจต้องการใช้คุณสมบัติเวลาหน้าจอของ iPhone เพื่อให้คุณออฟไลน์นานขึ้น
ใช้เบราว์เซอร์อื่น
หากวิธีอื่นๆ ล้มเหลว คุณอาจต้องลองใช้เบราว์เซอร์อื่นแทน อันที่จริง มีเบราว์เซอร์ทางเลือกมากมายที่มีตัวเลือกความเป็นส่วนตัวที่ยอดเยี่ยม
ให้ Safari ได้พัก
สำหรับการใช้ประโยชน์จากข้อมูลเบราว์เซอร์ ผู้ใช้ไม่ต้องทำอะไรเลยนอกจากเปิดแท็บหรือหน้าต่าง Safari ทิ้งไว้ ขออภัย บั๊กของ Safari 15 ยังส่งผลต่อโหมดการดูเว็บแบบส่วนตัวของ Safari นั่นก็ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์แบบเช่นกัน
อย่างไรก็ตาม ยังมีสิ่งเล็กน้อยอื่นๆ ที่คุณสามารถทำได้เพื่อให้การท่องเว็บของคุณปลอดภัย คุณยังติดตาม Apple และหัวข้อที่กำลังมาแรงที่เกี่ยวข้องบนโซเชียลมีเดียเพื่อเรียนรู้เมื่อนักพัฒนาแก้ไขปัญหาได้
