Браузер Safari 15 раскрывает личные данные и активность пользователей в Сети
Уязвимость связана с интерфейсом Apple, позволяющим сайтам хранить базы данных на устройствах пользователей.
Компания FingerprintJS создала специальный сайт, демонстрирующий насколько ненадежен браузер Safari 15. Пользователи могут убедиться в этом, перейдя по ссылке со своих macOS-, iOS- или iPadOS-устройств и убедиться, что браузер отображает их недавнюю активность.
"Из-за уязвимости более 30-ти ресурсов, вроде Instagram, Netflix, Twitter, Xbox,получают информацию о том, какие сайты посещает пользователь", — говорится в блоге компании. "Для юзеров, имеющих аккаунты сервисов Google, уязвимость чревата утечкой идентификаторов пользователей Google и изображений профилей".
Как объяснили эксперты по кибербезопасности, компания Apple имеет программный интерфейс под названием IndexedDB. В его основе лежит принцип одинакового источника (same-origin policy). То есть только один веб-сайт, который генерирует определенные пользовательские данные, может иметь доступ к этой информации.
Однако эксперты из FingerprintJS обнаружили, что Safari 15 не придерживается данного принципа. Когда сайт взаимодействует с хранилищем данных в Safari, "новая (пустая) база данных с тем же именем создается во всех других активных вкладках и окнах в рамках одного сеанса браузера". Это означает, что другие сайты могут узнать, какие ресурсы посещает пользователь.
Как защитить свою личную информацию
"К сожалению, пользователи Safari мало что могут сделать, чтобы защитить себя. Одним из вариантов может быть блокировка всего JavaScript по умолчанию и его запуск только при посещении надежных сайтов. Но вряд ли пользователям это будет удобно. Единственная реальная защита – сменить браузер, пока Apple не решит данную проблему", — говорится в материале.