Уязвимость в браузере Safari 15 позволяет вредоносным программам отслеживать действия людей в Интернете и раскрывать их личность.
Недавно обнаруженная ошибка Apple Safari 15 может использоваться гнусными сайтами для извлечения истории посещений пользователей и получения их идентификатора Google для сбора дополнительных личных данных, сообщает детектор мошенничества.
Проблема, обнаруженная FingerprintJS, службой обнаружения мошенничества с отпечатками пальцев браузера, связана с IndexedDB — интерфейсом прикладного программирования или API, используемым для хранения больших объемов данных в браузере.
Обычно такие интерфейсы сбора данных работают в рамках политики «того же происхождения»: они разрешают только веб-сайтам, с которыми взаимодействует человек, доступ к данным, сгенерированным самим таким веб-сайтом, но не другим. Например, если человек открывает свою учетную запись электронной почты на одной вкладке браузера, а другую веб-страницу — на второй, эта веб-страница не сможет получить доступ к каким-либо данным, связанным с электронной почтой.
Однако, когда дело доходит до Safari 15, это не так. Из-за применения Apple API IndexedDB каждый раз, когда веб-сайт взаимодействует с базой данных браузера, для всех других активных вкладок создается новая база данных с тем же именем. Это означает, что каждый такой сайт может получить доступ к именам баз данных для всех других сайтов, с которыми человек взаимодействует одновременно.
Это может быть особенно тревожным, когда человек взаимодействует с некоторыми веб-страницами, требующими некоторых личных данных, таких как учетные записи YouTube или Google. Любые страницы, связанные с идентификатором Google, создают базы данных с уникальным идентификатором пользователя Google в их именах, которые затем де-факто передаются всем другим веб-сайтам, которые открывает человек, и, таким образом, потенциально могут быть использованы злоумышленниками, в том числе для получения дополнительных личных данных один раз. они знают идентификатор Google.
Владельцы MacOS потенциально могут просто использовать браузер, отличный от Safari, чтобы обойти ошибку, но владельцы iPhone и iPad мало что могут сделать, поскольку запрет стороннего браузерного движка Apple на всех устройствах iOS означает, что затронуты все браузеры. Приватный режим в Safari 15 также затронут.
FingerprintJS даже создал специальную демонстрацию, чтобы показать, как Safari собирает данные веб-сайта, историю посещенных страниц и личные данные таким образом, чтобы показать изображение профиля человека в Интернете. Он также сообщил, что 28 ноября сообщил об этой проблеме в WebKit Bug Tracker, но до сих пор не было выпущено никаких обновлений для решения этой проблемы. Apple также пока не ответила на запросы СМИ о комментариях.
Вы можете поделиться этой историей в социальных сетях:
источник: www.rt.com