본문 바로가기
Security

MAC - Safari(사파리) 15 Google(구글) Account Leak

by 올엠 2022. 1. 19.
반응형

최근에 MacOS에서 Safari 15버전을 이용하는 경우 다른 탭에 Google Account로 로그인되어 있을 때, 프로필 정보등을 가져갈 수 있는 취약점이 알려졌다. 어떤 내용인지 정리해보자.

사파리 대표 아이콘

 

Safari(사파리) 15 Google(구글) Account Leak 이란

내용을 살펴보면, 브라우저들은 IndexedDB라는 것을 이용해서 오늘날의 복잡한 웹 사이트에서 개인 성격의 정보를 효율적으로 관리하기 위해서 캐싱을 한다.

그리고 일반적으로 IndexedDB 저장소에 저장된 정보는 만든 동일한 도메인의 웹 페이지에서만 액세스할 수 있다.

예를 들어 Google에서 생성하면 캐시된 정보는 다른 Google 웹 페이지에서만 액세스가 가능하다. 하지만 Safari(사파리) 15 버전에서는 동일한 도메인에서 호출인지에 대해 검사를 하지 않아, 다른 사이트에서 정보를 조회할 수 있게 된다.

 

조치 방안

아직 버그 패치 버전이 없는 상태(22/01/19기준)이기 때문에 되도록 사파리 15버전을 사용하지 않는 것이 좋겠다.

 

참조

버그를 시연하기 위해, FingerprintJS safarileaks.com웹 사이트를 구축해서 실제 취약점이 시연할 수 있도록 하였다. 아래 사이트에 접근한 후, 최신 버전의 Safari(또는 iPhone 또는 iPad의 다른 웹킷 기반 브라우저)를 사용하여 어떤 종류의 정보 인덱싱DB 누출을 확인할 수 있다.

 

Safari 15 IndexedDB Leaks (safarileaks.com)

 

Safari 15 IndexedDB Leaks

Information leaks resulting from an IndexedDB same-origin policy violation in WebKit (a browser engine primarily used in Safari, as well as all iOS and iPadOS web browsers).

safarileaks.com

 

반응형