Ошибка в Safari 15 может привести к утечке вашей активности в интернете, а также может раскрыть некоторую личную информацию, прикрепленную к вашей учетной записи Google, согласно выводам FingerprintJS, службы отпечатков пальцев и обнаружения мошенничества в браузере (через 9to5Mac). Уязвимость связана с проблемой реализации Apple IndexedDB, интерфейса прикладного программирования (API), который хранит данные в вашем браузере.
Как объясняет FingerprintJS, IndexedDB придерживается политики одного и того же источника, которая запрещает одному источнику взаимодействовать с данными, собранными в других источниках — по сути, только веб—сайт, который генерирует данные, может получить к нему доступ. Например, если вы открываете свою учетную запись электронной почты на одной вкладке, а затем открываете вредоносную веб-страницу на другой, политика того же источника запрещает просмотр вредоносной страницы и вмешательство в вашу электронную почту.
Вы мало что можете сделать, чтобы обойти эту проблему
FingerprintJS обнаружил, что применение Apple API IndexedDB в Safari 15 фактически нарушает политику того же происхождения. Когда веб-сайт взаимодействует с базой данных в Safari, FingerprintJS сообщает, что “новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одного и того же сеанса браузера”.
Это означает, что другие веб-сайты могут видеть названия других баз данных, созданных на других сайтах, которые могут содержать сведения, относящиеся к вашей личности. Сайты FingerprintJS notes, использующие вашу учетную запись Google, такие как YouTube, календарь Google и Google Keep, создают базы данных с вашим уникальным идентификатором пользователя Google в названии. Ваш идентификатор пользователя Google позволяет Google получать доступ к вашей общедоступной информации, такой как изображение вашего профиля, которое ошибка Safari может предоставить другим веб-сайтам.
Это огромная ошибка. В OSX пользователи Safari могут (временно) переключиться на другой браузер, чтобы избежать утечки своих данных через origins. У пользователей iOS нет такого выбора, потому что Apple накладывает запрет на другие браузерные движки. https://t.co/aXdhDVIjTT
— Джейк Арчибальд (@jaffathecake) 16 января 2022 г.
FingerprintJS создал демонстрационную демонстрацию концепции, которую вы можете опробовать, если у вас есть Safari 15 и выше на вашем Mac, iPhone или iPad. Демонстрационная версия использует уязвимость IndexedDB браузера для идентификации сайтов, которые вы открыли (или открыли недавно), и показывает, как ошибка удаляет информацию из вашего идентификатора пользователя Google. В настоящее время он обнаруживает только 30 популярных сайтов, затронутых ошибкой, таких как Instagram, Netflix, Twitter, Xbox, но, скорее всего, это затрагивает гораздо больше.
К сожалению, вы мало что можете сделать, чтобы обойти эту проблему, так как FingerprintJS говорит, что ошибка также влияет на режим приватного просмотра в Safari. Вы можете использовать другой браузер на macOS, но запрет сторонних браузеров Apple на iOS означает, что это затрагивает все браузеры. FingerprintJS сообщил об утечке в трекер ошибок WebKit 28 ноября, но обновления для Safari еще не было. The Verge обратилась к Apple с просьбой о комментариях, но не сразу получила ответ.
Источник: