У Safari виявили баг, який зливає паролі, логіни та інші важливі дані

Що сталося

Дослідники з компанії FingerprintJS знайшли недолік Safari 15, який присутній на всіх Mac, iPhone та iPad. Ця вразливість, пов’язана з інтерфейсом прикладного програмування, який зберігає дані користувачів у браузері (ім’я акаунта, паролі, історію тощо).

Взагалі цей стандарт IndexedDB дотримується політики того самого джерела. Тобто дані користувача може використовувати лише сайт, який їх отримав. Проте Apple IndexedDB у Safari 15 порушує цей принцип.

Як відбувається витік даних

Під час взаємодії сайту з Safari створюється нова (порожня) база даних із тим самим ім’ям у всіх інших активних фреймах, вкладках і вікнах в рамках одного сеансу браузера. Це означає, що інші сайти так само можуть бачити імена інших баз даних. Наприклад, Google може отримати доступ до зображення профілю користувача, а от Safari якраз передає доступ до цього зображенням іншим сайтам.

FingerprintJS створили сторінку-демонстрацію цієї концепції. Також вони виявили вже понад 30 відомих сайтів, які отримують доступ до даних з ідентифікатора користувача Google: Instagram, Netflix, Xbox, Bloomberg, YouTube тощо.

Дослідники повідомили про вразливість ще 28 листопада, проте Apple досі не відреагувала на цю інформацію.

Що ви творите?

Реклама у Vector

Знайшли помилку? Виділіть її і натисніть Ctrl+Enter