Специалисты из FingerprintJS обнаружили в браузере Safari 15 уязвимость, которая позволяет сторонним сайтам получать пользовательские данные об учетной записи Google и ее сервисов. Проблема заключается в базах данных, использующих фреймворк IndexedDB, в которых эта информация записывается при серфинге по интернету.
Обычно браузер создает базу данных при работе с одним сайтом так, чтобы она была доступна лишь этому сайту. Например, если вы в одной вкладке вошли в почту, а в соседней открыт мошеннический сайт, так называемое «правило ограничения домена» не позволит «плохой» вкладке узнать, чем занимается пользователь в соседней, пишет The Verge.
Как выяснили эксперты из FingerprintJS, в браузере Safari API IndexedDB игнорирует «правило ограничения домена». По этой причине все остальные вкладки и фреймы в рамках одной сессии могут видеть имена «чужих» созданных баз данных. Это в случае с сервисами Google означает, что сторонние лица могут записать ID пользователя Google (а также привязанных к нему сторонних сервисов) и идентифицировать его для доступа к открытой и публичной доступной информации.
FingerprintJS сообщила о баге 28 ноября, однако с тех пор мер предпринято не было.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро