' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
В браузере на айфонах и в Safari нашли уязвимость, позволяющую узнавать данные пользователей Google
В браузере Safari 15 в операционной системе macOS и во всех браузерах в операционных системах iOS 15 и iPadOS 15 обнаружили уязвимость, позволяющую отслеживать активность пользователя в интернете, а также узнавать данные пользователей Google. Об этом говорится в исследовании компании FingerprintJS.
Уязвимость связана со стандартом IndexedDB, который хранит данные в браузере. При нормальной работе доступ к базе данных, которую создает сайт, может получить только IndexedDB.
Из-за уязвимости каждый раз, когда сайт взаимодействует с базой данных, создается новая пустая база данных с тем же именем во всех других активных вкладках, окнах и фреймах в одной сессии браузера. В результате сайты могут узнавать историю браузера.
Некоторые сервисы ― YouTube, Календарь Google или Google Keep ― включают в базы данных уникальные идентификаторы пользователей, с помощью которых можно получить общедоступную информацию о владельце аккаунта, как минимум, его фотографию. Это означает, что узнать личность пользователя могут ненадежные или вредоносные веб-сайты, пояснили в FingerprintJS. Уязвимость также позволяет связать вместе несколько отдельных учетных записей, используемых одним и тем же пользователем.
По данным экспертов, ошибка затрагивает более 30 популярных сайтов, в том числе Instagram, YouTube, Netflix, Twitter, WhatsApp, «ВКонтакте», Xbox, Bloomberg.
Уязвимость также затрагивает режим приватного просмотра в Safari.
FingerprintJS сообщила об утечке еще в конце ноября, но обновления для Safari с тех пор не выходило.
