В браузере Safari 15 в операционной системе macOS и во всех браузерах в операционных системах iOS 15 и iPadOS 15 обнаружили уязвимость, позволяющую отслеживать активность пользователя в интернете, а также узнавать данные пользователей Google. Об этом говорится в исследовании компании FingerprintJS.
Уязвимость связана со стандартом IndexedDB, который хранит данные в браузере. При нормальной работе доступ к базе данных, которую создает сайт, может получить только IndexedDB.
Из-за уязвимости каждый раз, когда сайт взаимодействует с базой данных, создается новая пустая база данных с тем же именем во всех других активных вкладках, окнах и фреймах в одной сессии браузера. В результате сайты могут узнавать историю браузера.
Некоторые сервисы ― YouTube, Календарь Google или Google Keep ― включают в базы данных уникальные идентификаторы пользователей, с помощью которых можно получить общедоступную информацию о владельце аккаунта, как минимум, его фотографию. Это означает, что узнать личность пользователя могут ненадежные или вредоносные веб-сайты, пояснили в FingerprintJS. Уязвимость также позволяет связать вместе несколько отдельных учетных записей, используемых одним и тем же пользователем.
По данным экспертов, ошибка затрагивает более 30 популярных сайтов, в том числе Instagram, YouTube, Netflix, Twitter, WhatsApp, «ВКонтакте», Xbox, Bloomberg.
Уязвимость также затрагивает режим приватного просмотра в Safari.
FingerprintJS сообщила об утечке еще в конце ноября, но обновления для Safari с тех пор не выходило.