В браузере Apple Safari найдена крупная уязвимость

Исследователи FingerprintJS обнаружили в браузере Safari на устройствах Apple уязвимость, по вине которой может быть раскрыта интернет-активность, а также некоторая личная информация, связанная с аккаунтом Google (включая имя пользователя) на сторонних сайтах. Ошибка затрагивает Safari 15 и более новые версии приложения на iPhone, iPad и Mac, выяснили специалисты.

Проблема вызвана способом реализации IndexedDB — JavaScript-интерфейса (API), который используется для хранения данных внутри браузера. Как правило, эта система придерживается политики одинакового происхождения, запрещающая одному источнику взаимодействовать с данными, собранными в других источниках. Другими словами, если пользователь откроет в одной вкладке электронную почту, а в другой — вредоносный сайт, политика одинакового происхождения помешает последнему извлечь данные.

Как определили эксперты, в Safari 15 нормальная работа IndexedDB нарушена. Когда сайт взаимодействует с этим API в браузере Apple, создается новая, пустая база данных с таким же именем, которая становится доступной всем активным фреймам, вкладкам и окнам. Сервисы Google заполняют эту базу, из-за чего некоторая информация, такая как имя пользователя или картинка профиля, а также недавняя интернет-активность, может быть раскрыта сторонним сайтам.

Пользователи обойти эту проблему не могут. ВFingerprintJS отмечают, что ошибка затрагивает в том числе режим приватного просмотра в Safari. Пользователи macOS могут установить другое приложение для просмотра сайтов, однако в iOS — из-за запрета Apple на сторонние движки — эта проблема касается всех браузеров.

Специалисты уведомили Apple об ошибке еще в ноябре прошлого года. Тем не менее, уязвимость до сих пор не устранили.