НОВИНИ

У Safari виявили баг, який зливає паролі, логіни та інші важливі дані

17 Січня 2022, 10:28
2 хв читання
Матеріал успішно додано в закладки Досягнуто максимальної кількості закладок
Додати в закладки

Будь-яку статтю можна зберегти в закладки на сайті, щоб прочитати її пізніше.

Настя
Анастасія Шкальова Пишу новини про технології та компанії.
В Safari знайшли вразливість, яка сприяє витоку даних користувачів
Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Режим читання

Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.

В Safari 15 знайшли вразливість, пов’язану зі стандартом IndexedDB. За допомогою неї сайти можуть використовувати базу даних з активністю користувача на іншому сайті, повідомляють у компанії FingerprintJS.

Що сталося

Дослідники з компанії FingerprintJS знайшли недолік Safari 15, який присутній на всіх Mac, iPhone та iPad. Ця вразливість, пов’язана з інтерфейсом прикладного програмування, який зберігає дані користувачів у браузері (ім’я акаунта, паролі, історію тощо).

Взагалі цей стандарт IndexedDB дотримується політики того самого джерела. Тобто дані користувача може використовувати лише сайт, який їх отримав. Проте Apple IndexedDB у Safari 15 порушує цей принцип.

Як відбувається витік даних

Під час взаємодії сайту з Safari створюється нова (порожня) база даних із тим самим ім’ям у всіх інших активних фреймах, вкладках і вікнах в рамках одного сеансу браузера. Це означає, що інші сайти так само можуть бачити імена інших баз даних. Наприклад, Google може отримати доступ до зображення профілю користувача, а от Safari якраз передає доступ до цього зображенням іншим сайтам.

FingerprintJS створили сторінку-демонстрацію цієї концепції. Також вони виявили вже понад 30 відомих сайтів, які отримують доступ до даних з ідентифікатора користувача Google: Instagram, Netflix, Xbox, Bloomberg, YouTube тощо.

Дослідники повідомили про вразливість ще 28 листопада, проте Apple досі не відреагувала на цю інформацію.

Знайшли помилку? Виділіть її і натисніть Ctrl+Enter

Завантаження...