В Safari 15 обнаружили уязвимость, которая сливает данные о том, что пользователь делал в сети или на какие сайты заходил. Редакция MC.today рассказывает подробности.
Исследователи компании FingerprintJS нашли уязвимость в браузере Safari 15. Она может показать, когда и что делал пользователь в сети, и даже раскрыть личную информацию из учетной записи Google.
Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB, который сохраняет данные пользователя в браузере и разрешает сохранять эту информацию сайтам.
Главный принцип IndexedDB – одинаковый источник (same-origin policy). Это значит, что информацию пользователя может использовать только тот сайт, который ее получил. Если пользователь открывает вкладку с личными данными, а потом открывает сайт с вирусом, IndexedDB не дает ему эти данные получить. Но в Safari 15 этот принцип не работает.
Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Поэтому другие сайты могут получать информацию о том, что делал пользователь в сети.
Сайты, которые используют учетную запись Google – YouTube, Календарь, Google Keep, создают базы данных с УИД (уникальный идентификатор) пользователя Google User ID. Благодаря ему Google получает доступ к общедоступной информации пользователя, например, аватару его профиля. Но из-за уязвимости Safari может передавать эту информацию другим сайтам.
FingerprintJS создали сайт, который показывает, как работает уязвимость. Также исследователи рассказали, что более 30 популярных сайтов получают информацию УИД. Среди них – Instagram, Netflix, Twitter, Xbox, Bloomberg, YouTube и другие. Но исследователи говорят, что таких сайтов может быть еще больше.
Скриншот с сайта, который делали FingerprintJS
Специалисты по безопасности сообщили Apple об ошибке еще 28 ноября 2021 года, но в компании до сих пор не отреагировали.
В FingerprintJS говорят, что пользователи пока мало что могут сделать, чтобы защититься от утечки данных.
«Единственная реальная защита – обновить браузер или ОС после того, как Apple решит проблему», – пишут специалисты FingerprintJS.
Power BI (Business Intelligence) Microsoft – это не просто платформа для анализа данных, а ключевой…
Лас-Вегас — один из самых узнаваемых городов на планете, который ежегодно манит к себе миллионы…
Из-за широкомасштабного вторжения россии в Украине было введено военное положение и объявлена мобилизация. Военнообязанным мужчинам…
«Вижу цель – не вижу препятствий». Знакомая фраза? Часто ею руководствуются кандидаты, ищущие работу мечты.…
Национальный банк Украины работает над открытым банкингом. Речь идет о структурированном и безопасном обмене данными…
В США финансовому консультанту предъявили обвинение в растрате около $5 млн, которые принадлежали его клиенту.…