Kerentanan ini berasal dari masalah implementasi IndexedDB oleh Apple, sebuah interface (API) yang menyimpan data di browser Anda. Seperti yang dijelaskan oleh FingerprintJS, IndexedDB mematuhi kebijakan asal yang sama, yang membatasi satu asal untuk berinteraksi dengan data yang dikumpulkan di sumber lain, hanya situs web yang menghasilkan data yang dapat mengaksesnya.

Misalnya, jika Anda membuka akun email di satu tab dan kemudian membuka halaman web berbahaya di tab lain, kebijakan asal yang sama mencegah halaman berbahaya melihat dan mencampuri email Anda.

Dilansir dari The Verge, Senin (17/1/2022), Fingerprint JS menemukan bahwa aplikasi API IndexedDB Apple di Safari 15 sebenarnya melanggar kebijakan asal yang sama. Ketika sebuah situs web berinteraksi dengan database baru (kosong) dengan nama yang sama dibuat di semua bingkai, tab, dan jendela aktif lainnya dalam sesi browser yang sama.

Ini berarti situs web lain dapat melihat nama basis data lain yang dibuat di situs lain, yang dapat berisi detail khusus untuk identitas Anda. FingerprintJS mencatat situs yang menggunakan akun Google, seperti YouTube, Google Calendar, dan Google Keep, semuanya menghasilkan basis data dengan User ID Google unik Anda dalam namanya. User ID Google Anda memungkinkan Google untuk mengakses informasi Anda yang tersedia untuk umum, seperti gambar profil Anda, yang dapat diekspos oleh bug Safari ke situs web lain.

FingerprintJS membuat demo bulti konsep yang dapat Anda coba jika Anda memiliki Safari 15 dan yang lebih baru di Mac, iPhone, atau iPad Anda. Demo menggunakan kerentanan IndexedDB browser untuk mengidentifikasi situs yang telah Anda buka (atau buka baru-baru ini), dan menunjukkan bagaimana situs yang mengeksploitasi bug dapat mengeruk informasi dari UserID Google Anda. Saat ini hanya mendeteksi 30 situs populer yang terpengaruh oleh bug, seperti termasuk Instagram, Netflix, Twitter, Xbix, tetapi kemungkinan itu mempengaruhi jauh lebih banyak.

Sayangnya, tidak banyak yang dapat Anda lakukan untuk mengatasi masalah ini, karena FingerprintJS mengatakan bahwa bug tersebut juga memengaruhi mode Private Browsing di Safari. Anda dapat menggunakan browser yang berbeda di macOS, tetapi larangan mesin browser pihak ketiga Apple di iOS berarti semua browser terpengaruh.

FingerprintJS melaporkan kebocoran tersebut ke WebKit Bug Tracker pada 28 November, tetapi belum ada pembaruan untuk Safari. The Verge menghubungi Apple dengan permintaan komentar tetapi tidak segera mendapat tanggapan.