Браузер Safari может сливать пользовательские данные из-за бага
Специалисты из FingerprintJS обнаружили в браузере Safari 15 уязвимость, которая позволяет сторонним сайтам получать пользовательские данные об учетной записи Google и ее сервисов. Проблема заключается в базах данных, использующих фреймворк IndexedDB, в которых эта информация записывается при серфинге по интернету.
Обычно браузер создает базу данных при работе с одним сайтом так, чтобы она была доступна лишь этому сайту. Например, если вы в одной вкладке вошли в почту, а в соседней открыт мошеннический сайт, так называемое «правило ограничения домена» не позволит «плохой» вкладке узнать, чем занимается пользователь в соседней, пишет The Verge.
This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022
Как выяснили эксперты из FingerprintJS, в браузере Safari API IndexedDB игнорирует «правило ограничения домена». По этой причине все остальные вкладки и фреймы в рамках одной сессии могут видеть имена «чужих» созданных баз данных. Это в случае с сервисами Google означает, что сторонние лица могут записать ID пользователя Google (а также привязанных к нему сторонних сервисов) и идентифицировать его для доступа к открытой и публичной доступной информации.
FingerprintJS сообщила о баге 28 ноября, однако с тех пор мер предпринято не было.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
