Пользователям Safari на Mac рекомендуется переключиться на сторонний браузер
В Safari 15 обнаружена уязвимость, которая приводит к утечке вашей активности в интернете и даже позволяет злоумышленникам узнать вашу личность. Проблема возникла из-за ошибки, внесенной в реализацию IndexedDB, которая работает как интерфейс прикладного программирования (API) для хранения структурированных данных. Эта уязвимость затрагивает пользователей последней версии macOS, а также iOS и iPadOS. Хотя пользователи macOS могут преодолеть это воздействие, переключившись на сторонний браузер, пользователи iPhone или iPad на данный момент не имеют такого средства правовой защиты.
Как первоначально сообщал 9to5Mac, фирма по обнаружению отпечатков пальцев и мошенничества в браузере FingerprintJS обнаружила уязвимость IndexedBD, влияющую на Safari 15. API следует политике одного и того же источника, которая предназначена для ограничения взаимодействия документов и сценариев, загруженных из одного источника, с ресурсами из других источников. Это помогает веб-браузеру защитить ваш сеанс на одной вкладке от веб-сайта, к которому вы обратились на другой вкладке.
Однако исследователи из FingerprintJS обнаружили, что внедрение Apple IndexedDB нарушает политику. Это приводит к появлению лазейки, которую злоумышленник может использовать для получения доступа к вашей активности в Интернете или удостоверению личности, привязанному к вашей учетной записи Google.
- Как ограничить отслеживание рекламы в приложениях и сервисах на iPhone
“Каждый раз, когда веб-сайт взаимодействует с базой данных, во всех других активных фреймах, вкладках и окнах одного и того же сеанса браузера создается новая (пустая) база данных с тем же именем”, — сказали исследователи, объясняя уязвимость.
Этот недостаток позволяет хакерам узнавать, какие веб-сайты вы посещаете в разных вкладках или окнах. Он также предоставляет ваш идентификатор пользователя Google веб-сайтам, отличным от тех, на которых вы вошли в систему с помощью своей учетной записи Google. Идентификатор пользователя Google позволяет веб-сайтам получать доступ к вашим личным идентификаторам, включая фотографию вашего профиля. В конце концов, хакеры могли бы просмотреть эти идентификаторы, воспользовавшись уязвимостью Safari.
FingerprintJS утверждает, что количество веб-сайтов, которые могут взаимодействовать и получать доступ к активности пользователей в Интернете и личным идентификаторам, может быть значительным. Чтобы продемонстрировать этот недостаток, исследователи также обнародовали доказательство концепции.
- Apple выпускает обновление Safari 15.1 для macOS Big Sur и macOS Catalina
Вы можете использовать демонстрационную версию на своем Mac, iPhone или iPad с Safari 15, чтобы изучить уязвимость. В настоящее время он обнаруживает популярные сайты, включая Alibaba, Instagram, Twitter и Xbox, чтобы подсказать, как база данных с одного сайта может быть передана другим. Однако проблема не ограничивается этим и может повлиять на пользователей, посещающих и другие сайты.
Пользователи, переключающиеся в приватный режим в Safari 15, могут уменьшить объем информации, доступной через утечку, поскольку сеансы приватного просмотра в браузере ограничены одной вкладкой. Однако в конечном итоге вы потеряете свои данные, если будете посещать несколько веб-сайтов один за другим на одной вкладке.
Пользователи Mac, тем не менее, могут переключиться на сторонний браузер, такой как Google Chrome или Mozilla Firefox, чтобы устранить лазейку в безопасности.
- Google может заплатить Apple 15 миллиардов долларов за сохранение поисковой системы по умолчанию в Safari
Однако в iOS проблема также не ограничивается только Safari, и ее нельзя решить, перейдя в Chrome или другой сторонний браузер. Это связано с тем, что Apple не разрешает веб-браузерам iOS использовать сторонний браузерный движок на iPhone и iPad.
Пользователи могут ограничить утечку данных, отключив на время JavaScript в своем браузере. Но это повлияет на их опыт, так как большинство сайтов в настоящее время используют JavaScript для обеспечения современного просмотра.
FingerprintJS сообщил о проблеме в трекер ошибок WebKit 28 ноября. Однако этот недостаток все еще существует.
Гаджеты 360 обратились к Apple за комментарием об уязвимости и о том, работает ли она над исправлением. Эта статья будет обновлена, когда компания ответит.
Уязвимости, влияющие на Safari, не являются чем-то новым. В прошлом году Apple пришлось переиздать свой браузер, чтобы исправить проблемы с безопасностью и ошибки, появившиеся в предыдущем обновлении. Последняя сборка Safari (версия 15.2), выпущенная в декабре, также исправила шесть известных проблем безопасности WebKit, которые существовали в предыдущих версиях и могли позволить злоумышленникам злонамеренно получить доступ к пользовательским данным.
Источник: