У браузері від Apple знайшли вразливість, яка розкриває дані про користувачів
https://racurs.ua/ua/n165817-u-brauzeri-vid-apple-znayshly-vrazlyvist-yaka-rozkryvaie-dani-pro-korystuvachiv.htmlРакурсУ браузері Safari від компанії Apple виявили вразливість, яка дозволяє дізнатися історію браузера та імена користувачів сервісів Google.
Вразливість наявна у браузері Safari 15 на всіх пристроях та сторонніх браузерах, які працюють на iOS 15 та iPadOS 15. Про це повідомляється на сайті компанії FingerprintJS, експерти якої виявили цю вразливість.
Вразливість пов’язана зі стандартом IndexedDB, який дозволяє сайтам зберігати бази даних на пристроях користувачів. Очікується, що доступ до цієї бази даних може отримати лише сайт, який її створює.
Проте в Safari під час доступу сайту до своєї бази браузер створює нову порожню базу даних з тим же ім’ям у всіх вкладках та вікнах у сесії. В результаті сайти можуть дізнаватися, які інші сайти відвідує користувач.
Зауважте, що ці витоки не вимагають жодних конкретних дій користувача, — наголошують у FingerprintJS. — Вкладка або вікно, які працюють у фоновому режимі та постійно запитують IndexedDB щодо доступних баз даних, можуть дізнатися, які інші веб-сайти користувач відвідує в режимі реального часу. Крім того, веб-сайти можуть відкривати будь-який веб-сайт у iframe або спливаючому вікні, щоб викликати витік на основі IndexedDB для цього конкретного сайту.
Крім того, експерти наголошують, що сервіси Google, зокрема і YouTube та календар, заносять ім’я користувача у назву бази даних. А отримавши логін, шахраї можуть дізнатися й іншу інформацію — наприклад, прізвище, ім’я та фотографію облікового запису.
FingerprintJS також створила сайт safarileaks.com, на якому можна побачити, як працює вразливість — при відвідуванні його за допомогою Safari 15 відображається нещодавня активність користувача.
Зазначається, що компанії Apple про цю вразливість повідомили ще 28 листопада 2021 року, але її досі не усунули.