Последняя версия браузера Safari на устройствах Apple при посещении сайтов раскрывает данные, которые были сохранены в браузере другими сайтами, сообщила компания из сферы идентификации браузеров FingerprintJS. В частности, это позволяет сторонним сайтам получать имя пользователя в сервисах Google. Компания заявила, что уведомила Apple о проблеме.
Уязвимость в Safari связана с механизмом IndexedDB, который позволяет сайтам сохранять базы данных на устройствах пользователя. Нормальная работа механизма предполагает, что доступ к базе данных, созданной тем или иным сайтом, может получить только этот же сайт. Однако Safari при доступе сайта к своей базе «создает новую (пустую) базу данных с тем же именем во всех фреймах, вкладках и окнах в сессии», сообщает FingerprintJS.
Сервисы Google, в том числе YouTube и календарь, заносят имя пользователя в название базы данных, объясняет компания. Заполучив логин, злоумышленники могут узнать другую личную информацию — например, фамилию, имя и фотографию аккаунта.
Компания, обнаружившая уязвимость, создала сайт с ее демонстрацией. При его посещении с Safari версии 15 отображается недавняя активность посетителя на ряде популярных сайтов, в том числе в «ВКонтакте», Instagram, Twitter и Netflix. На iPhone и iPad уязвимость проявляется во всех браузерах, так как Apple обязывает производителей сторонних приложений использовать движок Safari.