Apple устранила утечку пользовательских данных из-за ошибки в Safari

Исследователи кибербезопасности из FingerprintJS обнаружили проблему в Apple API — IndexedDB, используемом для хранения данных в браузере.

Apple устранила утечку пользовательских данных из-за ошибки в Safari. Фото: Pexels

В Safari 15 есть мера безопасности, которая не позволяет вредоносным страницам, открытым на одной вкладке, получать данные, сгенерированные веб-сайтами, открытыми на другой вкладке. Исследователи обнаружили, что API не следует этой политике и вместо этого создает новую базу данных с тем же именем во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера.

Описывая возможные способы использования уязвимости, исследователи пояснили, что вредоносная страница, открытая на одной вкладке, может получить данные, сгенерированные этой страницей, на другой. Кроме того, недостаток может быть использован для получения данных учетной записи Google.

Сервисы Google (например, YouTube) генерируют базы данных, содержащие в своих именах уникальный идентификатор пользователя Google. Поскольку эти идентификаторы используются для доступа к общедоступной информации, такой как изображение профиля, другие сайты также могут ее видеть.

В FingerprintJS даже создали специальный веб-сайт для демонстрации ошибки в реальных условиях.

Исследователи заявили, что уязвимость затронула все версии iOS 15 и macOS Monterey, вплоть до этой самой новой. Однако iOS 14 не пострадала, равно как и те, кто все еще использует Safari 14 на старых версиях Mac.

В рамках плана по устранению этой уязвимости компания представила пользователям бета-версии iOS 15.3 RC и macOS Monterey 12.2 RC. Тестирование на наличие уязвимости на устройствах, обновленных до iOS 15.3 RC и macOS 12.2 RC, показало, что веб-сайт больше не видит никаких данных и показывает, что пользователь не вошел в свою учетную запись Google.

Apple еще не установила официальную дату выпуска этих новых версий операционной системы, но можно с уверенностью предположить, что это не займет много времени, пишет Techradar.

Startpack подготовил перечень инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме