Фото MacWorld
Apple устранила уязвимость, которая затрагивала все браузеры на iOS 15 из-за ошибки в движке WebKit. Она позволяла злоумышленникам получить доступ к истории посещений пользователя и данным Google-аккаунта.
О проблеме 17 января этого года сообщили исследователи по кибербезопасности из FingerprintJ. Она была связана со стандартом IndexedDB для хранения баз данных на устройствах. На iOS 15 они создавались не для каждого сайта отдельно, а генерировались во всех открытых вкладках даже в режиме инкогнито. Это позволяло отследить, какие еще страницы посещали пользователи.
Сервисы Google заносят в название базы данных уникальный идентификатор пользователя, что позволяет установить его личность. С помощью него можно получить фамилию, имя и аватарку аккаунта. Ошибку устранили в iOS 15.3, которая должна выйти на следующей неделе.
Кроме того, в iOS 15, iPadOS 15 и watchOS 8 исправили эксплойт, который мог позволить стороннему приложению обойти настройки конфиденциальности. Apple не предоставила никакой дополнительной информации о специфике уязвимости и не сообщила, использовалась ли она кем-нибудь в реальности.
