Исследователи из FingerprintJS обнаружили уязвимость в браузере, который при посещении сайта создает базу данных с недавней активностью пользователя — к нему могут получить доступ другие сайты.
Исследователи из FingerprintJS обнаружили уязвимость в браузере, который при посещении сайта создает базу данных с недавней активностью пользователя — к нему могут получить доступ другие сайты.
Уязвимость существует в Safari 15 на всех устройствах и в сторонних браузерах, которые работают на iOS 15 и iPadOS 15. Проблема связана со стандартом IndexedDB, которые позволяет сайтам сохранять базы данных на устройствах пользователя.
Доступ к базам данных, который создает сайт, может получить пользователь. В Safari браузер при доступе сайта создает новую пустую базу данных с тем же именем во всех вкладках и окнах в сессии. Из-за этого сайты могут получить доступ к данным других сайтов.
Например, сервисы Google заносят имя пользователя в название базы данных. Мошенники могут получить логин и узнать другую информацию: фамилию, имя, фотографию аккаунта и другую информацию.
Специалисты FingerprintJS сообщили об ошибке Apple 28 ноября 2021 года, однако компания до сих пор не устранила уязвимость. Чтобы показать, как она работает, исследователи создали сайт, на котором можно увидеть, что при посещении сайтов с Safari 15 отображается недавняя активность пользователей.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.