iOS와 아이패드OS, 맥OS용 최신 버전 사파리 15 버그로 구글 계정 정보나 최근 브라우징 이력이 유출될 우려가 있다는 보도가 나왔다.
웹브라우저용 지문 인증 서비스를 제공하는 핑거프린트JS(FingerprintJS)는 블로그에서 사파리15에는 인덱스DB(IndexedDB) 구현에 버그가 있어 특정 웹사이트가 자신의 도메인 뿐 아니라 모든 도메인 데이터베이스명을 볼 수 있다고 지적하고 있다. 이 데이터베이스명은 룩업 테이블에서 식별 정보를 추출하는데 사용할 수 있다고 언급됐으며 실제로 시도할 수 있는 개념 증명 데모도 공개됐다.
예를 들어 구글 서비스는 로그인한 각 계정에 대해 인덱스DB 인스턴스를 저장하고 데이터베이스명은 구글 사용자 ID에 해당한다. 여기에서 보고된 취약점을 이용하면 악의적 사이트가 사용자 구글ID를 추출하고 이 ID에 의해 다른 개인 정보도 빼낼 수 있다는 것이다. 개념 실증 데모에선 실제로 익명이어야 할 방문자 본인 구글 프로필 사진도 표시된다.
이 버그는 모든 인덱스DB 데이터베이스명이 모든 사이트에서 볼 수 있으며 각 데이터베이스 실제 콘텐츠에 대한 액세스가 제한되어 있다고 한다. 다시 말해 데이터베이스명을 알 수 있을 뿐 그 이상을 보거나 내용을 바꿀 수는 없다는 것이다. 구글 사용자 ID는 데이터베이스명에서 알 수 있기 때문에 개인을 식별할 수 있으며 데이터베이스명에서 최근 방문한 사이트 내역을 볼 수 있다는 것이다.
덧붙여 크롬 등 다른 브라우저에서 원래 있어야 할 동작은 웹사이트가 자신의 도메인명과 같은 도메인명에 의해 만들어진 데이터베이스만 볼 수 있게 하는 것이다. 이 취약점은 아이폰과 아이패드, 맥에 탑재된 사파리 현재 버전 모두에서 악용할 수 있다고 한다. 핑거프린트JS에 따르면 11월 28일 애플에 버그를 보고했지만 아직 해결되지 않았다고 한다. 관련 내용은 이곳에서 확인할 수 있다.