Браузер Safari может сливать пользовательские данные из-за бага

 
1639
17 января 2022 в 9:29
Источник: Сергей Сергеев
Источник: Сергей Сергеев

Специалисты из FingerprintJS обнаружили в браузере Safari 15 уязвимость, которая позволяет сторонним сайтам получать пользовательские данные об учетной записи Google и ее сервисов. Проблема заключается в базах данных, использующих фреймворк IndexedDB, в которых эта информация записывается при серфинге по интернету.

Обычно браузер создает базу данных при работе с одним сайтом так, чтобы она была доступна лишь этому сайту. Например, если вы в одной вкладке вошли в почту, а в соседней открыт мошеннический сайт, так называемое «правило ограничения домена» не позволит «плохой» вкладке узнать, чем занимается пользователь в соседней, пишет The Verge.

Как выяснили эксперты из FingerprintJS, в браузере Safari API IndexedDB игнорирует «правило ограничения домена». По этой причине все остальные вкладки и фреймы в рамках одной сессии могут видеть имена «чужих» созданных баз данных. Это в случае с сервисами Google означает, что сторонние лица могут записать ID пользователя Google (а также привязанных к нему сторонних сервисов) и идентифицировать его для доступа к открытой и публичной доступной информации.

FingerprintJS сообщила о баге 28 ноября, однако с тех пор мер предпринято не было.

Onlíner рекомендует
240 ГБ, 2.5", SATA 3.0, контроллер Silicon Motion SM2258XT, микросхемы 3D TLC NAND, последовательный доступ: 540/500 MBps
Выбор покупателей
Onlíner рекомендует
питание: аккумулятор, Li-ion, 1400 об/мин, 34 Н·м, напряжение аккумулятора: 12 В, ёмкость аккумулятора: 2 А·ч, аккумулятор в комплекте, 950 г
Выбор покупателей
шарнирная конструкция, крепление устройства: зажим, установка в вентрешетку, зарядка беспроводная
Выбор покупателей
350 Вт, объем чаши: 2.1 л, терки, измельчитель

Наш канал в Telegram. Присоединяйтесь!

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро