Новая уязвимость в Safari приводит к утечке данных пользователя
Исследователи нашли уязвимость в популярном на компьютерах Mac и в мобильной операционной системе iOS браузере Safari. Сообщается, что эта особенность позволяет узнать историю браузера, а также имена пользователей Google, сообщает FingerprintJS.
Как выяснили исследователи, уязвимость наблюдается в Safari 15 на всех устройствах и даже в сторонних браузерах, которые работают на iOS 15 и iPadOS 15. Уязвимость проявляется в сторонних браузерах, так как Apple обязывает их производителей использовать движок Safari на iOS и iPadOS. В FingerprintJS заявили, что уже давно уведомили Apple о проблеме, но компания пока не устранила её.
Уязвимость основана на браузерном API IndexedDB, который позволяет сайтам сохранять базы данных на устройствах пользователя. По задумке работы механизма, доступ к базе данных, созданной тем или иным сайтом, может получить только этот же сайт. Однако Safari при доступе сайта к своей базе «создает новую базу данных с тем же именем во всех фреймах, вкладках и окнах в сессии». Это позволяет одному сайту узнать, какие другие ресурсы посещал пользователь, а также узнать некоторые данные о нём, вроде идентификатора Google, который может позволить установить личность человека.