Исследователи нашли уязвимость в Safari - она позволяет узнать историю браузера и имена пользователей Google, сообщает vc.ru.
При посещении сайта браузер создаёт информационную базу с недавней активностью пользователя, к которой могут получить доступ иные сайты. Уязвимость есть в Safari 15 на всех устройствах и в сторонних браузерах, которые работают на iOS 15 и iPadOS 15, выяснили исследователи из FingerprintJS. Она связана со стандартом IndexedDB, который позволяет сайтам сберегать информационной базы на устройствах пользователя.
Обычно при его нормальной работе доступ к информационной базе, которую создаёт сайт, может получить только он. В Safari при доступе сайта к своей базе браузер создаёт новую пустую информационную базу с таким же именем во всех вкладках и окнах в сессии. На выходе сайты могут учинять допрос, какие иные сайты бывает пользователь.
Сервисы Google, в том числе YouTube и календарь, заносят имя пользователя в наименование базы данных. Получив логин, мошенники могут узнать иную информацию - например, фамилию, имя и фотографию аккаунта.
FingerprintJS создала сайт, на котором можно посмотреть, как работает уязвимость - при его посещении с Safari 15 отображается недавняя активность пользователя.
Профессионалы сообщили Apple об ошибке 28 ноября 2021 года, но её до сих пор не устранили.