/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F258%2F1a14d7331a112d9e3d39e3cc7b9d12a8.png)
В Safari нашли уязвимость, которая выдает личные данные
В Safari 15 обнаружили уязвимость, которая сливает данные о том, что пользователь делал в сети или на какие сайты заходил. Редакция MC.today рассказывает подробности.
Что случилось
Исследователи компании FingerprintJS нашли уязвимость в браузере Safari 15. Она может показать, когда и что делал пользователь в сети, и даже раскрыть личную информацию из учетной записи Google.
Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB, который сохраняет данные пользователя в браузере и разрешает сохранять эту информацию сайтам.
Главный принцип IndexedDB – одинаковый источник (same-origin policy). Это значит, что информацию пользователя может использовать только тот сайт, который ее получил. Если пользователь открывает вкладку с личными данными, а потом открывает сайт с вирусом, IndexedDB не дает ему эти данные получить. Но в Safari 15 этот принцип не работает.
Как действует уязвимость
Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Поэтому другие сайты могут получать информацию о том, что делал пользователь в сети.
Сайты, которые используют учетную запись Google – YouTube, Календарь, Google Keep, создают базы данных с УИД (уникальный идентификатор) пользователя Google User ID. Благодаря ему Google получает доступ к общедоступной информации пользователя, например, аватару его профиля. Но из-за уязвимости Safari может передавать эту информацию другим сайтам.
FingerprintJS создали сайт, который показывает, как работает уязвимость. Также исследователи рассказали, что более 30 популярных сайтов получают информацию УИД. Среди них – Instagram, Netflix, Twitter, Xbox, Bloomberg, YouTube и другие. Но исследователи говорят, что таких сайтов может быть еще больше.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F258%2F1a14d7331a112d9e3d39e3cc7b9d12a8.png)
Скриншот с сайта, который делали FingerprintJS
Специалисты по безопасности сообщили Apple об ошибке еще 28 ноября 2021 года, но в компании до сих пор не отреагировали.
В FingerprintJS говорят, что пользователи пока мало что могут сделать, чтобы защититься от утечки данных.
«Единственная реальная защита – обновить браузер или ОС после того, как Apple решит проблему», – пишут специалисты FingerprintJS.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F201%2F26ba222defe594f619abec815c726124.png)
5 важливих віршів Тараса Шевченка, в яких письменник згадує Україну
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F193%2F9fe7f6a03e449e7052b393f4cd181529.jpg)
Музикант-воїн Олександр Положинський випустив трек "Де ідуть бої"
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F193%2F079be35aa644a925a2ddba8ea8e3e6f4.jpg)
Король Чарльз ІІІ поділиться улюбленою музикою на радіо в Apple Music
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F201%2F950386420171985c108d1ea31df0bcb2.jpg)
«Додайте світла» та кольорів. Розглядаємо два сміливих образи DOROFEEVA з нового кліпу
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F201%2F7208b66b0edb080b7d70bd6afb8ceca2.png)
Леді Гага додає ще більше хаосу в життя в новому альбомі Mayhem
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F201%2Fa049a9531366823927ca040b0343c435.png)
5 українських музичних релізів, які ви могли пропустити
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F207%2F2d21360aef901f022f50344134583515.jpg)