Дослідники FingerprintJS виявили вразливість у Safari 15, яка може призвести до витоку даних про відвідування та дії користувача в мережі, а також може розкрити деяку особисту інформацію, пов’язану з обліковим записом Google.
Вразливість пов’язана з Apple IndexedDB – API, який дозволяє сайтам зберігати бази даних на пристрої користувача.
Як пояснив FingerprintJS, IndexedDB дотримується принципу однакового джерела (same-origin policy). Це важлива концепція безпеки, яка обмежує взаємодію одного джерела із даними, отриманими з інших джерел. По суті, лише веб-сайт, який генерує певні дані може мати доступ до цієї інформації. Наприклад, якщо користувач відкриває свій обліковий запис електронної пошти в одній вкладці, а потім в іншій вкладці відкриває сторінку зі шкідливим скриптом, то механізм same-origin policy не дозволяє шкідливій сторінці отримати доступ до електронної пошти користувача.
FingerprintJS виявив, що Safari 15 принцип однакового джерела не дотримується. Коли веб-сайт взаємодіє з базою даних у Safari, як повідомляє FingerprintJS, “нова (порожня) база даних з тим же ім’ям створюється у всіх інших активних фреймах, вкладках та вікнах в рамках одного сеансу браузера”. Це означає, що інші сайти можуть дізнаватись, які інші сайти відвідує користувач.
Як зазначає FingerprintJS, сайти, які використовують обліковий запис Google, такі як YouTube, Календар, Google Keep, створюють бази даних з унікальним ідентифікатором користувача Google User ID. Цей ідентифікатор дозволяє Google отримати доступ до загальнодоступної персональної інформації, включаючи зображення профілю. Через помилку Safari може надавати ці дані іншим веб-сайтам.
Дослідники FingerprintJS створили спеціальний сайт з демонстрацією того, як працює вразливість – при відвідуванні за допомогою Safari 15 відображається нещодавня активність користувача. Зараз він виявляє лише 30 популярних сайтів, включаючи Instagram, Netflix, Twitter, Xbox. Але, ймовірно, сама вразливість зачіпає значно більше сайтів.
Фахівці з безпеки повідомили Apple про помилку ще 28 листопада 2021 року, але її досі не усунули.