В браузере от Apple нашли уязвимость, раскрывающую данные о пользователях

В браузере Safari от компании Apple обнаружили уязвимость, позволяющую узнать историю браузера и имена пользователей сервисов Google.

Уязвимость доступна в браузере Safari 15 на всех устройствах и сторонних браузерах, работающих на iOS 15 и iPadOS 15. Об этом сообщается на сайте компании FingerprintJS, эксперты которой обнаружили эту уязвимость.

Уязвимость связана со стандартом IndexedDB, позволяющим сайтам хранить базы данных на устройствах пользователей. Ожидается, что доступ к этой базе данных может получить только создаваемый сайт.

Однако в Safari при доступе сайта к своей базе браузер создает новую пустую базу данных с тем же именем во всех вкладках и окнах в сессии. В результате сайты могут узнать, какие другие сайты посещает пользователь.

Обратите внимание, что эти утечки не требуют никаких конкретных действий пользователя, — подчеркивают в FingerprintJS. — Вкладка или окно, работающие в фоновом режиме и постоянно запрашивающие IndexedDB относительно доступных баз данных, могут узнать, какие другие веб-сайты пользователь посещает в режиме реального времени. Кроме того, веб-сайты могут открывать любой веб-сайт в iframe или всплывающем окне, чтобы вызвать утечку на основе IndexedDB для этого конкретного сайта.

Кроме того, эксперты отмечают, что сервисы Google, включая YouTube и календарь, заносят имя пользователя в название базы данных. А получив логин, мошенники могут узнать и другую информацию — например, фамилию, имя и фотографию аккаунта.

FingerprintJS также создала сайт safarileaks.com, на котором можно увидеть, как работает уязвимость — при посещении его с помощью Safari 15 отображается недавняя активность пользователя.

Отмечается, что компании Apple об этой уязвимости сообщили еще 28 ноября 2021 года, но ее до сих пор не устранили.