У Safari виявили баг, який зливає паролі, логіни та інші важливі дані
В Safari 15 знайшли вразливість, пов’язану зі стандартом IndexedDB. За допомогою неї сайти можуть використовувати базу даних з активністю користувача на іншому сайті, повідомляють у компанії FingerprintJS.
Що сталося
Дослідники з компанії FingerprintJS знайшли недолік Safari 15, який присутній на всіх Mac, iPhone та iPad. Ця вразливість, пов’язана з інтерфейсом прикладного програмування, який зберігає дані користувачів у браузері (ім’я акаунта, паролі, історію тощо).
Взагалі цей стандарт IndexedDB дотримується політики того самого джерела. Тобто дані користувача може використовувати лише сайт, який їх отримав. Проте Apple IndexedDB у Safari 15 порушує цей принцип.
Як відбувається витік даних
Під час взаємодії сайту з Safari створюється нова (порожня) база даних із тим самим ім’ям у всіх інших активних фреймах, вкладках і вікнах в рамках одного сеансу браузера. Це означає, що інші сайти так само можуть бачити імена інших баз даних. Наприклад, Google може отримати доступ до зображення профілю користувача, а от Safari якраз передає доступ до цього зображенням іншим сайтам.
FingerprintJS створили сторінку-демонстрацію цієї концепції. Також вони виявили вже понад 30 відомих сайтів, які отримують доступ до даних з ідентифікатора користувача Google: Instagram, Netflix, Xbox, Bloomberg, YouTube тощо.
Дослідники повідомили про вразливість ще 28 листопада, проте Apple досі не відреагувала на цю інформацію.