/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F258%2F1a14d7331a112d9e3d39e3cc7b9d12a8.png)
В Safari нашли уязвимость, которая выдает личные данные
В Safari 15 обнаружили уязвимость, которая сливает данные о том, что пользователь делал в сети или на какие сайты заходил. Редакция MC.today рассказывает подробности.
Что случилось
Исследователи компании FingerprintJS нашли уязвимость в браузере Safari 15. Она может показать, когда и что делал пользователь в сети, и даже раскрыть личную информацию из учетной записи Google.
Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB, который сохраняет данные пользователя в браузере и разрешает сохранять эту информацию сайтам.
Главный принцип IndexedDB – одинаковый источник (same-origin policy). Это значит, что информацию пользователя может использовать только тот сайт, который ее получил. Если пользователь открывает вкладку с личными данными, а потом открывает сайт с вирусом, IndexedDB не дает ему эти данные получить. Но в Safari 15 этот принцип не работает.
Как действует уязвимость
Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Поэтому другие сайты могут получать информацию о том, что делал пользователь в сети.
Сайты, которые используют учетную запись Google – YouTube, Календарь, Google Keep, создают базы данных с УИД (уникальный идентификатор) пользователя Google User ID. Благодаря ему Google получает доступ к общедоступной информации пользователя, например, аватару его профиля. Но из-за уязвимости Safari может передавать эту информацию другим сайтам.
FingerprintJS создали сайт, который показывает, как работает уязвимость. Также исследователи рассказали, что более 30 популярных сайтов получают информацию УИД. Среди них – Instagram, Netflix, Twitter, Xbox, Bloomberg, YouTube и другие. Но исследователи говорят, что таких сайтов может быть еще больше.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F258%2F1a14d7331a112d9e3d39e3cc7b9d12a8.png)
Скриншот с сайта, который делали FingerprintJS
Специалисты по безопасности сообщили Apple об ошибке еще 28 ноября 2021 года, но в компании до сих пор не отреагировали.
В FingerprintJS говорят, что пользователи пока мало что могут сделать, чтобы защититься от утечки данных.
«Единственная реальная защита – обновить браузер или ОС после того, как Apple решит проблему», – пишут специалисты FingerprintJS.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F0f1540bf-0ea8-4516-b368-6cd88f3b188e.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F5d0dc6986b2dd5f51d727d6961c15c88.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F293dc9d0117ffa81d513276c1b251dbb.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F95f657dceccce23c272c1242e9c76b01.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F1ac923c4ffaa24d313a67a03f2ab8c9d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F5ba34c75ec5921dc174d6f5bc1ed87e7.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F96ada2322c467d6d76d4ae5885dc99de.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F68229972aa830a3829e775a8a9875518.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F8570c79abb41f7791af2036ffaa6077d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F216%2F7fc33fbc39300305a3440b752de5df7b.jpg)