FingerprintJS พบบั๊กใน Safari บน Mac และ iOS ทำให้เว็บรู้ข้อมูล Google User ID ของผู้ใช้บางส่วนได้ สามารถวิเคราะห์ข้อมูลที่เชื่อมโยงได้ เช่น การล็อกอินบัญชี Google และประวัติการท่องเว็บ

บั๊กนี้เกิดขึ้นกับ IndexedDB ของ Safari บน Mac และ iOS ซึ่ง  IndexedDB เป็นฐานข้อมูลที่เปิดให้ทุกเว็บเข้าถึงได้อยู่แล้ว แต่จะจำกัดให้เข้ถึงได้เฉพาะเนื้อหาของฐานข้อมูลนั้นๆ นั่นหมายความว่าบั๊กนี้จะเปิดช่องให้เว็บไซต์ต่างๆสามารถเห็นชื่อของฐานข้อมูลจากโดเมนไหนก็ได้ ซึ่งชื่อฐานข้อมูลนี้สามาราถนำมาแยกย่อย เพื่อระบุข้อมูลได้

บริการต่างๆของ Google นั้นได้ใช้ IndexedDB ในการเก็บข้อมูลทุกครั้งที่เราล็อกอินบัญชีใช้งาน ซึ่งชื่อของฐานข้อมูลนี้สามารถติดตามย้อนกลับไปถึง Google User ID ที่เกี่ยวข้องได้ ทำให้เว็บสามารถล่วงรู้ถึง การล็อกอินบัญชี Google และประวัติการท่องเว็บ

นอกจากนั้นเว็บยังสามารถใช้ Google User ID ในการสืบหาข้อมูลส่วนตัวอื่นๆเกี่ยวกับเราได้ หาก ID นั้นเคยใช้ API เชื่อมต่อไปยังบริการของ Google ซึ่งในการสาธิตให้ดูนั้น สามารถรู้ไปถึงรูปโปรไฟล์ของผู้ใช้ได้

ตอนนี้ Safari ทุกเวอร์ชันนั้นพบบั๊กตัวนี้ ซึ่งทาง. FingerprintJS ได้แจ้งทาง Apple ไปเรียบร้อยแล้วแต่ยังไม่มีการปล่อยแพตช์แก้ไขออกมา

ที่มา 9to5msc