В браузере Safari нашли уязвимость — она позволяет узнать историю просмотров и данные пользователей

Компания в сфере кибербезопасности FingerprintJS обнаружила уязвимость в предустановленном на устройствах Apple браузере Safari, с помощью которой злоумышленники могут получить информацию о пользователе. Сообщение появилось в блоге организации.

Исследователи говорят, что ошибка возникла в браузере Safari 15, появившемся в iOS, iPadOS и macOS 12-й версии. Злоумышленники могут увидеть историю посещенных юзером страниц, а также некоторые данные его аккаунта в Google. В материале указано, что это как минимум фото профиля в сервисах компании.

Этот контент
не поддерживается

Читать полную версию

В FingerprintJS объясняют, что уязвимость касается стандарта баз данных IndexedDB, он позволяет посещенным сайтам сохранять информацию на устройстве пользователя. Как правило, доступ к такой информации может иметь только сам сайт и никто другой: это так называемая политика одинакового происхождения.

В Safari 15, как говорят исследователи, работа этой системы нарушена. Когда сайт взаимодействует с базой данных в браузере Apple, создается новая пустая база, и ее информация доступна произвольным ресурсам, указано в статье. Иными словами, сайты могут видеть, какие другие страницы посещает пользователь в открытых вкладках и окнах.

В некоторых случаях, говорится в материале, сайты назначают юзерам уникальные идентификаторы. Это означает, что из‑за уязвимости в Safari 15 у злоумышленников появляется возможность получить информацию о конкретном пользователе таких ресурсов. В качестве примеров сайтов, где используется технология уникальных идентификаторов, в FingerprintJS называют YouTube, Google Calendar и Google Keep.

В FingerprintJS добавляют, что проблема наблюдается и при использовании приватного режима в Safari, хотя он и уменьшает количество потенциально доступных для утечки данных.

Этот контент
не поддерживается

Читать полную версию

Уязвимости подвержены более 30 сайтов, сообщают исследователи, однако их количество может оказаться больше. Издание The Verge добавляет, что среди таких ресурсов — Instagram, Netflix, Twitter и Xbox.

Разработчик Chrome Джейк Арчибальд говорит, что у пользователей macOS есть возможность временно обезопасить себя, перейдя на другой браузер. Однако, по его словам, браузеры, доступные для iOS, в любом случае подвержены угрозе из‑за ограничений Apple, эту информацию также подтвердил разработчик The New York Times Алистер Кут.

В FingerprintJS заявили, что уведомили Apple об ошибке еще в ноябре 2021 года. Сегодня, 17 января, исследователи сообщили, что разработчики Apple начали работать над их запросом о проблеме в минувшее воскресенье, а затем отметили ее как решенную. Однако уязвимость не исчезнет до релиза обновления.