НОВОСТИ

В Safari обнаружили баг, сливающий пароли, логины и другие важные данные

17 января 2022, 10:36
2 мин чтения
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
Добавить в закладки

Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.

Настя
Анастасия Шкалева Пишу новости о технологиях и компаниях.
В Safari знайшли вразливість, яка сприяє витоку даних користувачів
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Режим чтения

Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.

В Safari 15 нашли уязвимость, связанную со стандартом IndexedDB. С ее помощью сайты могут использовать базу данных с активностью пользователя на другом сайте, сообщают в компании FingerprintJS.

Что произошло

Исследователи из компании FingerprintJS обнаружили недостаток Safari 15, который присутствует на всех Mac, iPhone и iPad. Эта уязвимость связана с интерфейсом прикладного программирования, который сохраняет пользовательские данные в браузере (имя аккаунта, пароли, историю и другое).

Вообще этот стандарт IndexedDB придерживается политики того же источника. То есть данные пользователя может использовать только получивший их сайт. Однако Apple IndexedDB в Safari 15 нарушает этот принцип.

Как происходит утечка данных

При взаимодействии сайта с Safari создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера. Это означает, что другие сайты также могут видеть имена других баз данных. К примеру, Google может получить доступ к изображению профиля пользователя, а вот Safari как раз передает доступ к этому изображению другим сайтам.

FingerprintJS создали страницу-демонстрацию этой концепции. Также они обнаружили более 30 известных сайтов, которые получают доступ к данным с идентификатора пользователя Google: Instagram, Netflix, Xbox, Bloomberg, YouTube и другие.

Исследователи сообщили об уязвимости еще 28 ноября, однако Apple до сих пор не отреагировала на эту информацию.

Нашли ошибку? Выделите ее и нажмите Ctrl+Enter

ЧИТАЙТЕ ТАКЖЕ
Как это работает Миллионы за цифровое искусство. Что такое NFT и зачем их покупают
Миллионы за цифровое искусство. Что такое NFT и зачем их покупают
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
11 марта 2021, 08:00 9 мин чтения
Загрузка...