Компания в сфере кибербезопасности Fingerprint.js обнаружила уязвимость в предустановленном на устройствах Apple браузере Safari, с помощью которой злоумышленники могут получить информацию о пользователе. Сообщение появилось в блоге организации.
Исследователи говорят, что ошибка возникла в браузере Safari 15, появившемся в iOS, iPadOS и macOS 12-й версии. Злоумышленники могут увидеть историю посещенных юзером страниц, а также некоторые данные его аккаунта в Google. В материале указано, что это как минимум фото профиля в сервисах компании.
Fingerprint.js объясняют, что уязвимость касается стандарта баз данных IndexedDB, он позволяет посещенным сайтам сохранять информацию на устройстве пользователя. Как правило, доступ к такой информации может иметь только сам сайт и никто другой — это так называемая политика одинакового происхождения.
В Safari 15, как говорят исследователи, работа этой системы нарушена. Когда сайт взаимодействует с базой данных в браузере Apple, создается новая пустая база, и ее информация доступна произвольным ресурсам, указано в статье. Иными словами, сайты могут видеть, какие другие страницы посещает пользователь в открытых вкладках и окнах.
В некоторых случаях, говорится в материале, сайты назначают юзерам уникальные идентификаторы. Это означает, что из‑за уязвимости в Safari 15 у злоумышленников появляется возможность получить информацию о конкретном пользователе таких ресурсов. В качестве примеров сайтов, где используется технология уникальных идентификаторов, Fingerprint.js называют YouTube, Google Calendar и Google Keep.
Fingerprint.js добавляют, что проблема наблюдается и при использовании приватного режима в Safari, хотя он и уменьшает количество потенциально доступных для утечки данных.