사파리 버그로 사용자 브라우저 기록 및 구글 계정 정보 유출

애플의 사파리 15에서 발생한 소프트웨어 버그는 어떤 웹사이트든 사용자의 최근 인터넷 및 일부 구글 계정 정보를 얻을 수 있게 하며, 사용자의 신원을 드러낼 수 있습니다.

브라우저 지문 인식 및 사기 탐지 서비스인 FingerprintJS의 블로그 게시물에 따르면, 이 버그는 애플의 WebKit 웹 브라우저 개발 엔진의 IndexedDB API 구현에서 발생했습니다.

모르는 분들을 위해 설명하자면, IndexedDB는 클라이언트 측 저장을 위한 브라우저 API로, 상당량의 데이터를 저장하도록 설계되었으며, 모든 주요 브라우저에서 지원되고 매우 일반적으로 사용됩니다.

대부분의 현대 웹 브라우저 기술과 마찬가지로, IndexedDB는 동일 출처 정책을 따릅니다. 이는 한 출처에서 로드된 문서나 스크립트가 다른 출처의 리소스와 상호작용하는 방식을 제한하는 기본 보안 메커니즘입니다. IndexedDB는 특정 출처와 연결되어 있습니다.

“서로 다른 출처와 연결된 문서나 스크립트는 다른 출처와 연결된 데이터베이스와 상호작용할 가능성이 없어야 합니다.”라고 블로그는 말합니다.

macOS의 사파리 15와 iOS 및 iPadOS 15의 모든 브라우저에서, IndexedDB API는 동일 출처 정책을 위반하고 있습니다. FingerprintJS에 따르면, 웹사이트가 사파리에서 데이터베이스와 상호작용할 때, 동일한 이름의 새로운(비어 있는) 데이터베이스가 동일한 브라우저 세션 내의 모든 활성 프레임, 탭 및 창에 생성됩니다.

데이터베이스 이름이 서로 다른 출처 간에 유출되는 것은 명백한 개인 정보 침해입니다. 이는 임의의 웹사이트가 사용자가 다른 탭이나 창에서 방문하는 웹사이트를 알 수 있게 합니다. 이는 데이터베이스 이름이 일반적으로 고유하고 웹사이트 특정이기 때문에 가능합니다.

게다가, FingerprintJS는 일부 경우 웹사이트가 데이터베이스 이름에 고유한 사용자 특정 식별자를 사용하는 것을 관찰했습니다. 이는 인증된 사용자가 고유하고 정확하게 식별될 수 있음을 의미합니다.

일부 인기 있는 예로는 유튜브, 구글 캘린더 또는 구글 킵이 있습니다. 이 모든 웹사이트는 인증된 구글 사용자 ID를 포함하는 데이터베이스를 생성하며, 사용자가 여러 계정에 로그인한 경우, 이러한 모든 계정에 대해 데이터베이스가 생성됩니다.

구글 사용자 ID는 구글에 의해 생성된 내부 식별자입니다. 이는 단일 구글 계정을 고유하게 식별하며, 구글 API와 함께 사용하여 계정 소유자의 공개 개인 정보를 가져오는 데 사용될 수 있습니다.

“이는 신뢰할 수 없거나 악의적인 웹사이트가 사용자의 신원을 알 수 있을 뿐만 아니라, 동일한 사용자가 사용하는 여러 개별 계정을 연결할 수 있게 합니다.”라고 FingerprintJS는 썼습니다.

이러한 유출은 특정 사용자 행동을 요구하지 않음을 유의하십시오. 백그라운드에서 실행되고 IndexedDB API에 대해 사용 가능한 데이터베이스를 지속적으로 쿼리하는 탭이나 창은 사용자가 실시간으로 방문하는 다른 웹사이트를 알 수 있습니다. 또는 웹사이트는 특정 사이트에 대한 IndexedDB 기반 유출을 유발하기 위해 iframe이나 팝업 창에서 어떤 웹사이트든 열 수 있습니다.

FingerprintJS는 웹사이트가 방문자의 구글 계정 신원을 어떻게 알 수 있는지를 보여주는 데모 페이지를 만들었습니다. 이 데모는 safarileaks.com에서 사용할 수 있습니다. Mac, iPhone 또는 iPad에서 Safari 15 이상을 사용하고 있다면 시도해 볼 수 있습니다. 현재 이 데모는 구글 캘린더, 유튜브, 트위터 및 블룸버그를 포함하여 다른 브라우저 탭이나 창에서 20개 이상의 웹사이트의 존재를 감지합니다.

FingerprintJS는 2021년 11월 28일에 Safari 버그를 WebKit 버그 추적기에 버그 233548로 보고했다고 밝혔습니다. 그러나 애플은 아직 이 문제를 수정하지 않았습니다.

그때까지의 유일한 해결책은 기본적으로 모든 자바스크립트를 차단하고 신뢰할 수 있는 사이트에서만 허용하는 것일 수 있습니다. Mac의 Safari 사용자에게는 다른 브라우저로 일시적으로 전환하는 것이 또 다른 대안입니다. 불행히도, iOS 및 iPadOS에서는 모든 브라우저가 영향을 받기 때문에 이 옵션은 없습니다.