Исследователи FingerprintJS обнаружили уязвимость в Safari 15, которая может привести к утечке данных о посещениях и действиях пользователя в сети, а также может раскрыть некоторую личную информацию, связанную с учетной записью Google.
Уязвимость связана с Apple IndexedDB — API, который позволяет сайтам сохранять базы данных на устройствах пользователя.
Как объяснил FingerprintJS, IndexedDB придерживается принципа одинакового источника (same-origin policy). Это важная концепция безопасности, которая ограничивает взаимодействие одного источника с данными, полученными из других источников. По сути, только веб-сайт, который генерирует определенные данные, может иметь доступ к этой информации. Например, если пользователь открывает свою учетную запись электронной почты в одной вкладке, а затем в другой вкладке открывает страницу с вредоносным скриптом, то механизм same-origin policy не позволяет вредоносной странице получить доступ к электронной почте пользователя.
FingerprintJS обнаружил, что в Safari 15 принцип одинакового источника не соблюдается. Когда веб-сайт взаимодействует с базой данных в Safari, как сообщает FingerprintJS, «новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера». Это означает, что другие сайты могут узнавать, какие другие сайты посещает пользователь.
Как отмечает FingerprintJS, сайты, использующие учетную запись Google, такие как YouTube, Календарь, Google Keep, создают базы данных с уникальным идентификатором пользователя Google User ID. Этот идентификатор позволяет Google получать доступ к общедоступной персональной информации, включая изображение профиля. Из-за ошибки Safari может предоставлять эти данные другим веб-сайтам.
This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) January 16, 2022
Исследователи FingerprintJS создали специальный сайт с демонстрацией того, как работает уязвимость — при его посещении посредством Safari 15 отображается недавняя активность пользователя. Сейчас он обнаруживает только 30 популярных сайтов, включая Instagram, Netflix, Twitter, Xbox. Но, вероятно, сама уязвимость затрагивает куда больше сайтов.
Специалисты по безопасности уведомили Apple об ошибке еще 28 ноября 2021 года, но ее до сих пор не устранили.