В Safari нашли уязвимость, которая позволяет мошенникам узнать историю браузера

В Safari 15 нашли уязвимость, с помощью которой можно узнать историю браузера и имена пользователей Google. Об этом пишет VC.ru со ссылкой на исследователей компании FingerprintJS.

Уязвимость есть не только в Safari 15, но и в сторонних браузерах, которые работают на iOS 15 и iPadOS 15. Она связана со стандартом IndexedDB, который позволяет сайтам сохранять базы данных на устройствах пользователя.

При нормальной работе IndexedDB доступ к базе данных, которую создает сайт, может получить только он. «В Safari при доступе сайта к своей базе браузер создает новую пустую базу данных с тем же именем во всех вкладках и окнах в сессии. В результате сайты могут узнавать, какие другие сайты посещает пользователь», — утверждается в заметке.

Сервисы Google, например, YouTube и календарь, заносят имя пользователя в название базы данных — получив логин, мошенники могут узнать в том числе фамилию, имя и фотографию аккаунта.

Кроме того, FingerprintJS создала сайт, который показывает, как работает уязвимость — при его посещении пользователь Safari 15 может увидеть свою недавнюю активность. Специалисты рассказали Apple об ошибке еще в ноябре, но ее все еще не устранили.