Уязвимость в браузере Safari раскрывает имена пользователей сервисов Google
Эксперты FingerprintJS установили, что проблема имеется в Safari 15 версии на всех устройствах. Уязвимость также обеспечивает доступ к данным и в других браузерах на iOS 15 и iPadOS 15.
Как пишет Lifehacker, из-за использования стандарта IndexedDB программное обеспечение сохраняет данные на устройствах пользователей. В норме доступ к базе своих данных может получить только тот сайт, для которого она создавалась.
Но в Safari при каждой такой попытке доступа создаются новые пустые базы для всех окон и вкладок — с теми же именами, что и оригинальная. В результате сторонние ресурсы видят, какие ещё страницы посещаются.
Кроме того, YouTube, календарь и другие сервисы Google хранят в именах своих локальных баз логины пользователей. Используя их, киберпреступники могут получить и другие данные, например, фамилию, имя и фотографию аккаунта.
В компании Apple знают о проблеме с 21 ноября 2021 года, но уязвимость до сих пор не закрыта.
Как пишет Lifehacker, из-за использования стандарта IndexedDB программное обеспечение сохраняет данные на устройствах пользователей. В норме доступ к базе своих данных может получить только тот сайт, для которого она создавалась.
Но в Safari при каждой такой попытке доступа создаются новые пустые базы для всех окон и вкладок — с теми же именами, что и оригинальная. В результате сторонние ресурсы видят, какие ещё страницы посещаются.
Кроме того, YouTube, календарь и другие сервисы Google хранят в именах своих локальных баз логины пользователей. Используя их, киберпреступники могут получить и другие данные, например, фамилию, имя и фотографию аккаунта.
В компании Apple знают о проблеме с 21 ноября 2021 года, но уязвимость до сих пор не закрыта.
* Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Рейтинг: