Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Уязвимость в Safari 15 может привести к утечке данных об интернет-активности пользователя

17/01/22

Apple SafУязвимость в версии браузера Safari 15 может привести к утечке интернет-активности пользователя, а также может раскрыть некоторую личную информацию, связанную с учетной записью Google. По словам специалистов из компании FingerprintJS, уязвимость связана с проблемой реализации интерфейса прикладного программирования (API) Apple IndexedDB, который хранит данные в браузере.

IndexedDB работает согласно политике единого происхождения (Same-origin policy), которое ограничивает взаимодействие одного источника с данными, собранными в других. Например, если пользователь открывает свою учетную запись электронной почты на одной вкладке, а затем открывает вредоносную web-страницу на другой, политика единого происхождения не позволяет вредоносной странице просматривать и вмешиваться в электронную почту.

Как обнаружили эксперты, приложение Apple API IndexedDB в Safari 15 фактически нарушает политику единого происхождения. Когда сайт взаимодействует с базой данных в Safari, «новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера».

Таким образом, другие web-сайты могут видеть имена баз данных, созданных на других сайтах. Сайты, использующие учетную запись Google, включая YouTube, Календарь Google и Google Keep, создают базы данных с уникальным идентификатором пользователя Google в своем имени. Идентификатор Google позволяет компании получать доступ к общедоступной информации, такой как изображение профиля, и уязвимость в Safari может предоставлять подобный доступ и другим сайтам.

К сожалению, пользователи мало что могут сделать для решения данной проблемы, поскольку уязвимость также влияет на режим приватного просмотра в Safari.

Темы:поисковикиУгрозыSafari
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...