Нова вразливість у Safari призводить до витоку даних користувача

У браузері Safari виявили недолік, за допомогою якого можна отримати деяку інформацію про користувача на популярних платформах, включаючи YouTube та Instagram

https://fingerprintjs.com/

Дослідники виявили програмну помилку, що з’явилася в реалізації API IndexedDB у Safari 15, яка дозволяє будь-якому веб-сайту відслідковувати вашу активність в Інтернеті та навіть розкривати вашу особистість.

IndexedDB – це API-інтерфейс браузера для зберігання значних обсягів даних на стороні клієнта. Підтримується у всіх основних браузерах і часто використовується. За задумом роботи механізму, доступ до бази даних, створеної тим чи іншим сайтом, може отримати лише цей сайт. Однак Safari при доступі сайту до своєї бази створює нову (порожню) базу даних з тим самим ім’ям у всіх фреймах, вкладках та вікнах у сесії. Це дозволяє одному сайту дізнатись, які інші ресурси відвідував користувач.

У деяких випадках веб-сайти використовують унікальні ідентифікатори користувача в іменах баз даних. Це означає, що автентифіковані користувачі можуть бути точно ідентифіковані. Деякі популярні приклади: YouTube, Календар Google або Google Keep. Всі ці веб-сайти створюють бази даних, які включають автентифікований ідентифікатор користувача Google, і якщо користувач увійшов до декількох облікових записів, бази даних створюються для всіх цих облікових записів.

Це не тільки означає, що ненадійні або шкідливі веб-сайти можуть дізнатися особистість користувача, але також дозволяє зв’язати разом кілька окремих облікових записів, що використовуються одним і тим самим користувачем.

На iPhone і iPad вразливість проявляється у всіх браузерах, оскільки вони працюють на базі двигуна Safari.

ДОВІДКА PAYSPACE MAGAZINE

У ході першої торгової сесії у новому році цінні папери американського техногіганта Apple зросли у ціні на 3% до $182,83 за акцію. Про це свідчать дані біржі NASDAQ. Таким чином капіталізація компанії досягла нового максимуму $3 трлн.

ЧИТАЙТЕ ТАКОЖ: Швейцарська армія забороняє використання додатків WhatsApp, Signal та Telegram

За матеріалами сайту fingerprintjs.com