Новая уязвимость в Safari приводит к утечке данных пользователя

В браузере Safari обнаружили недочет, с помощью которого можно получить некоторую информацию о пользователе на популярных платформах, включая YouTube и Instagram

https://fingerprintjs.com/

Исследователи обнаружили программную ошибку, появившуюся в реализации API IndexedDB в Safari 15, которая позволяет любому веб-сайту отслеживать вашу активность в Интернете и даже раскрывать вашу личность.

IndexedDB — это API-интерфейс браузера для хранения значительных объемов данных на стороне клиента. Поддерживается во всех основных браузерах и очень часто используется. По задумке работы механизма, доступ к базе данных, созданной тем или иным сайтом, может получить только этот же сайт. Однако Safari при доступе сайта к своей базе создает новую (пустую) базу данных с тем же именем во всех фреймах, вкладках и окнах в сессии. Это позволяет одному сайту узнать, какие другие ресурсы посещал пользователь.

В некоторых случаях веб-сайты используют уникальные пользовательские идентификаторы в именах баз данных. Это означает, что аутентифицированные пользователи могут быть однозначно и точно идентифицированы. Некоторыми популярными примерами могут быть YouTube, Календарь Google или Google Keep. Все эти веб-сайты создают базы данных, которые включают аутентифицированный идентификатор пользователя Google, и в случае, если пользователь вошел в несколько учетных записей, базы данных создаются для всех этих учетных записей.

Это не только означает, что ненадежные или вредоносные веб-сайты могут узнать личность пользователя, но также позволяет связать вместе несколько отдельных учетных записей, используемых одним и тем же пользователем.

На iPhone и iPad уязвимость проявляется во всех браузерах, поскольку они работают на базе движка Safari.

СПРАВКА PAYSPACE MAGAZINE

В ходе первой торговой сессии в новом году ценные бумаги американского техногиганта Apple выросли в цене на 3% до $182,83 за акцию. Об этом свидетельствуют данные биржи NASDAQ. Таким образом капитализация компании достигла нового максимума в $3 трлн.

ЧИТАЙТЕ ТАКЖЕ: Швейцарская армия запрещает использование приложений WhatsApp, Signal и Telegram

По материалам сайта fingerprintjs.com