Остання версія браузера Safari на пристроях Apple при відвідуванні сайтів розкриває дані, збережені в браузері іншими сайтами, повідомила компанія зі сфери ідентифікації браузерів FingerprintJS. Це дозволяє стороннім сайтам отримувати ім’я користувача в сервісах Google. Компанія заявила, що повідомила Apple про проблему.
Вразливість Safari пов’язана з механізмом IndexedDB, який дозволяє сайтам зберігати бази даних на пристроях користувача. Нормальна робота механізму передбачає, що доступ до бази даних, створеної тим чи іншим сайтом, може отримати лише цей сайт. Однак, Safari при доступі сайту до своєї бази «створює нову (порожню) базу даних з тим самим ім’ям у всіх фреймах, вкладках та вікнах у сесії», повідомляє FingerprintJS.
Сервіси Google, у тому числі YouTube та календар, заносять ім’я користувача у назву бази даних, пояснює компанія. Отримавши логін, зловмисники можуть дізнатися іншу особисту інформацію – наприклад, прізвище, ім’я та фотографію облікового запису.
Компанія, що виявила вразливість, створила сайт із її демонстрацією. При його відвідуванні з Safari версії 15 відображається нещодавня активність відвідувача на низці популярних сайтів, у тому числі «ВКонтакті», Instagram, Twitter та Netflix. На iPhone та iPad вразливість проявляється у всіх браузерах, оскільки Apple зобов’язує виробників сторонніх додатків використовувати Safari.
