17/01/22
Уязвимость в версии браузера Safari 15 может привести к утечке интернет-активности пользователя, а также может раскрыть некоторую личную информацию, связанную с учетной записью Google. По словам специалистов из компании FingerprintJS, уязвимость связана с проблемой реализации интерфейса прикладного программирования (API) Apple IndexedDB, который хранит данные в браузере.
IndexedDB работает согласно политике единого происхождения (Same-origin policy), которое ограничивает взаимодействие одного источника с данными, собранными в других. Например, если пользователь открывает свою учетную запись электронной почты на одной вкладке, а затем открывает вредоносную web-страницу на другой, политика единого происхождения не позволяет вредоносной странице просматривать и вмешиваться в электронную почту.
Как обнаружили эксперты, приложение Apple API IndexedDB в Safari 15 фактически нарушает политику единого происхождения. Когда сайт взаимодействует с базой данных в Safari, «новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера».
Таким образом, другие web-сайты могут видеть имена баз данных, созданных на других сайтах. Сайты, использующие учетную запись Google, включая YouTube, Календарь Google и Google Keep, создают базы данных с уникальным идентификатором пользователя Google в своем имени. Идентификатор Google позволяет компании получать доступ к общедоступной информации, такой как изображение профиля, и уязвимость в Safari может предоставлять подобный доступ и другим сайтам.
К сожалению, пользователи мало что могут сделать для решения данной проблемы, поскольку уязвимость также влияет на режим приватного просмотра в Safari.
