2021년 11월, 사용자 개인 정보를 위협하는 Safari 버그에 대한 보고서가 온라인에 나타났습니다. 여러 장치의 Safari 사용자에게 영향을 미치는 Safari 15 IndexedDB 버그로 인해 웹사이트가 액세스해서는 안 되는 데이터베이스 정보에 액세스할 수 있습니다.
본질적으로 이것은 Safari에서 방문한 웹 사이트가 귀하가 방문한 다른 웹 사이트도 볼 수 있음을 의미합니다. 아래에서 중지할 수 있는 작업을 설명합니다.
이 Safari 15 버그의 기능은 무엇입니까?
FingerprintJS의 보고서에 따르면 IndexedDB API는 iPhone, iPad 및 Mac의 Safari 15에서 동일 출처 정책을 위반합니다. 이 취약점으로 인해 Safari 사용자가 방문하는 웹사이트는 탭이나 창에서 열려 있는 다른 웹사이트도 볼 수 있습니다.
이 외에도 버그는 해커가 식별 정보를 추출하는 데 사용할 수 있는 모든 도메인의 데이터베이스 이름도 보여줍니다. 각 데이터베이스의 실제 콘텐츠에 대한 액세스는 여전히 제한되어 있지만 이 취약점을 사용한 데이터 스크래핑은 여전히 잠재적인 문제를 일으킬 수 있습니다.
FingerprintJS는 해커가 Google 사용자 ID를 통해 브라우저 정보를 획득하여 사용자를 표적으로 삼을 수 있다는 점에 주목합니다. Safari 사용자는 YouTube, Google 캘린더 등과 같은 사이트를 사용하여 동의 없이 다른 웹사이트에 공개 정보를 공개할 위험이 있습니다.
또한 이 취약점으로 인해 웹사이트가 온라인 프로필 아래 관련 없는 계정을 결합할 수 있습니다. 온라인 신원을 탈중앙화하려는 사람들에게는 이것이 번거로울 수 있습니다.
직접 사용해보고 싶다면 FingerprintJS가 자주 방문하는 30개의 웹사이트에서 취약점이 작동하는 방식을 시뮬레이션하는 라이브 데모도 공개했습니다.
데모에서 Safari 사용자는 방문한 웹 사이트를 기반으로 브라우저에서 얼마나 많은 데이터베이스가 누출되고 있는지 확인할 수 있습니다. 가능한 경우 데모에서 고유한 Google 사용자 ID와 프로필 사진도 공개합니다.
2022년 1월부터 Apple 엔지니어는 GitHub에 표시된 대로 문제 해결 작업을 시작했습니다. 이상적으로, Safari는 웹사이트가 자신과 동일한 도메인 이름으로 생성된 데이터베이스를 보지 못하도록 제한할 수 있습니다. 이 글을 쓰는 시점에서 iPhone, iPad, Mac의 모든 최신 Safari 버전에서 버그가 발생하고 있습니다.
업데이트: 2022년 1월 27일 Apple은 Safari 15의 보안 결함을 해결할 것을 약속하는 iOS 15.3을 출시했습니다. 이 수정 사항의 혜택을 받으려면 Apple 기기를 사용 가능한 최신 소프트웨어 업데이트로 업데이트하세요.
Safari 15 버그로부터 자신을 보호하기 위해 무엇을 할 수 있습니까?
그 동안 Safari 사용자는 취약점이 지속되는 동안 잠재적인 해결 방법을 사용할 수 있습니다. Apple이 업데이트로 Safari 문제를 해결할 수 있을 때까지 Safari 사용자가 스스로를 보호하기 위해 할 수 있는 일은 몇 가지뿐입니다.
공개적으로 사용 가능한 정보 제거
Safari 15 버그는 데이터베이스를 적극적으로 악용하므로 수집할 수 있는 데이터에 대한 액세스를 줄이는 것이 좋습니다. 따라서 Google ID를 사라지게 할 수는 없지만 더 적은 정보가 연결되도록 할 수 있습니다. 예를 들어 Google 프로필 사진을 삭제하고 Google 계정의 이름을 일시적으로 변경할 수 있습니다.
개인 데이터 분산 작업
새로운 버그는 Safari에서 별도의 온라인 계정을 연결할 수 있지만 해커가 유용한 데이터를 가져오는 것을 더 어렵게 만들 수 있습니다. 이를 달성하려면 개인 데이터를 적극적으로 분산시키는 것이 가장 좋습니다. 이는 여러 이메일 주소를 생성하고 싱글 사인온 서비스를 피하는 등의 방법으로 수행할 수 있습니다.
불필요한 탐색 방지
Apple이 Safari 15 버그를 해결할 때까지 데이터를 신뢰할 필요가 없는 임의의 웹사이트에서 보내는 시간을 줄이고 싶을 수 있습니다. 사실, 평판이 좋은 웹사이트도 이 취약점을 악용하지 않을 것이라는 보장도 없습니다. 이러한 이유로 iPhone의 스크린 타임 기능을 사용하여 오프라인 상태를 더 오래 유지할 수 있습니다.
다른 브라우저 사용
다른 모든 방법이 실패하면 대신 다른 브라우저를 사용해 보는 것이 좋습니다. 사실, 훌륭한 개인 정보 보호 옵션을 제공하는 대체 브라우저가 많이 있습니다.
사파리에게 휴식을 주기
브라우저 데이터가 악용되기 위해 최종 사용자는 Safari 탭이나 창을 열어 두는 것 외에는 아무 것도 할 필요가 없습니다. 안타깝게도 Safari 15 버그는 Safari의 개인정보 보호 브라우징 모드에도 영향을 미치므로 완벽한 솔루션은 아닙니다.
그러나 브라우징을 안전하고 안전하게 유지하기 위해 할 수 있는 다른 작은 일이 있습니다. 또한 소셜 미디어에서 Apple 및 관련 트렌드 주제를 팔로우하여 개발자가 문제를 해결하는 시점을 알아볼 수도 있습니다.