Уязвимость браузера Apple Safari 15 может привести к утечке истории просмотров, а также раскрытию некоторой личной информации, связанной с учётной записью Google. К такому выводу пришли исследователи из FingerprintJS.
Согласно имеющимся данным, уязвимость обозревателя Safari связана с реализацией механизма IndexedDB, который позволяет веб-сайтам сохранять базы данных на пользовательском устройстве и ограничивает взаимодействие данных одного источника с ресурсами из других источников. Проще говоря, данный механизм позволяет сайтам взаимодействовать только с теми данными, которые ими же и были созданы. Например, если пользователь открывает на одной вкладке свой почтовый ящик, а на соседней — вредоносную страницу, то IndexedDB не позволит последней получить доступ к данным, связанным со страницей электронной почты.
Исследователи из FingerprintJS установили, что механизм IndexedDB в Safari 15 нарушает правило ограничения домена. Когда какой-либо сайт взаимодействует с хранящейся на устройстве пользователя базой данных в рамках активной сессии во всех открытых окнах, вкладках и фреймах происходит автоматическое создание пустой копии базы данных с таким же именем. Это означает, что сторонние сайты могут получить доступ к именам баз данных, относящимся к другим веб-ресурсам, причём в таких базах могут содержаться личные пользовательские данные. Например, использующие учётную запись Google сайты, такие как YouTube или Календарь Google, создают базы данных с уникальным идентификатором пользователя Google в имени. Этот идентификатор позволяет Google получать доступ к общедоступной пользовательской информации, такой как изображение профиля, которая из-за уязвимости Safari может оказаться доступна другим веб-сайтам.
3DNews.ru