В Safari обнаружили уязвимость, которая позволяет получить доступ к истории посещений и некоторым данным Google-аккаунта. Поскольку Apple запрещает сторонним разработчикам использовать собственные движки, ей подвержены все браузеры на iOS 15.
Исследователи по кибербезопасности из FingerprintJS рассказали, что проблема связана со стандартом IndexedDB для хранения баз данных на устройствах. Доступ к информации оттуда должен получать только тот сайт, который создал базу, однако в Safari генерируется новая с тем же именем во всех открытых вкладках даже в режиме инкогнито. Из-за этого злоумышленники могут отследить, какие еще страницы посещали пользователи.
Некоторые сайты заносят в название базы данных уникальный идентификатор пользователя, что позволяет установить его личность. К таким относятся сервисы Google: YouTube, «Календарь», Keep и другие. С помощью идентификатора можно получить фамилию, имя и аватарку аккаунта.
Для наглядной демонстрации уязвимости специалисты FingerprintJS создали специальный сайт. Если его открыть с Safari, то отображается недавняя активность на других сайтах.
Всю информацию об ошибке передали специалистам Apple 28 ноября 2021 года, но пока ее до сих пор не устранили.