Вразливість пов'язана з інтерфейсом Apple, який дозволяє сайтам зберігати бази даних на пристроях користувачів.
Компанія FingerprintJS створила спеціальний сайт, що демонструє, наскільки ненадійний браузер Safari 15. Користувачі можуть переконатися в цьому, перейшовши за посиланням зі своїх macOS-, iOS- або iPadOS-пристроїв і переконатися, що браузер відображає їхню недавню активність.
"Через вразливість понад 30 ресурсів, на кшталт Instagram, Netflix, Twitter, Xbox, отримують інформацію про те, які сайти відвідує користувач", — йдеться в блозі компанії. "Для користувачів, що мають облікові записи сервісів Google, вразливість загрожує витоком ідентифікаторів користувачів Google та зображень профілів".
Як пояснили експерти з кібербезпеки, компанія Apple має програмний інтерфейс під назвою IndexedDB. У його основі лежить принцип однакового джерела (same-origin policy). Тобто лише один веб-сайт, який генерує певні дані користувача, може мати доступ до цієї інформації.
Проте експерти з FingerprintJS виявили, що Safari 15 не дотримується цього принципу. Коли сайт взаємодіє зі сховищем даних у Safari, "нова (порожня) база даних з тим самим ім'ям створюється у всіх інших активних вкладках та вікнах у межах одного сеансу браузера". Це означає, що інші сайти можуть дізнатись, які ресурси відвідує користувач.
Як захистити свою особисту інформацію
"На жаль, користувачі Safari мало що можуть зробити, щоб захистити себе. Одним з варіантів може бути блокування всього JavaScript за замовчуванням і його запуск тільки під час відвідування надійних сайтів. Але навряд користувачам це буде зручно. Єдиний реальний захист — змінити браузер, поки Apple не вирішить цю проблему", — йдеться у матеріалі.