17 Jan 2022

В Safari нашли уязвимость, которая выдает личные данные

Редактор новостей в MC.today

В Safari 15 обнаружили уязвимость, которая сливает данные о том, что пользователь делал в сети или на какие сайты заходил. Редакция MC.today рассказывает подробности.

Что случилось

Исследователи компании FingerprintJS нашли уязвимость в браузере Safari 15. Она может показать, когда и что делал пользователь в сети, и даже раскрыть личную информацию из учетной записи Google.

Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB, который сохраняет данные пользователя в браузере и разрешает сохранять эту информацию сайтам.

Главный принцип IndexedDB – одинаковый источник (same-origin policy). Это значит, что информацию пользователя может использовать только тот сайт, который ее получил. Если пользователь открывает вкладку с личными данными, а потом открывает сайт с вирусом, IndexedDB не дает ему эти данные получить. Но в Safari 15 этот принцип не работает.

Как действует уязвимость

Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Поэтому другие сайты могут получать информацию о том, что делал пользователь в сети.

Сайты, которые используют учетную запись Google – YouTube, Календарь, Google Keep, создают базы данных с УИД (уникальный идентификатор) пользователя Google User ID. Благодаря ему Google получает доступ к общедоступной информации пользователя, например, аватару его профиля. Но из-за уязвимости Safari может передавать эту информацию другим сайтам.

FingerprintJS создали сайт, который показывает, как работает уязвимость. Также исследователи рассказали, что более 30 популярных сайтов получают информацию УИД. Среди них – Instagram, Netflix, Twitter, Xbox, Bloomberg, YouTube и другие. Но исследователи говорят, что таких сайтов может быть еще больше.