По выводам из Отпечаток пальцаJS, службу снятия отпечатков пальцев браузера и обнаружения мошенничества, ошибка в Safari 15 может раскрыть вашу онлайн-активность и некоторую личную информацию, связанную с вашей учетной записью Google (через 9to5Mac). Проблема связана с реализацией Apple ИндекседБД, API, который хранит данные в вашем браузере.
IndexedDB, как и все веб-базы данных, придерживается политики единого источника, что означает, что один источник не может взаимодействовать с данными, сгенерированными в других источниках. Политика одного и того же источника не позволяет вредоносной странице просматривать и подделывать вашу электронную почту, если вы открываете свою учетную запись электронной почты на одной вкладке, а затем посещаете вредоносный сайт на другой.
Ошибка Safari, из-за которой ваш идентификатор пользователя Google становится известен другим сайтам.
Реализация Apple IndexedDB API в Safari 15, согласно FingerprintJS, нарушает политику того же происхождения. Когда веб-сайт взаимодействует с базой данных в Safari, FingerprintJS утверждает, что «новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера».
Это означает, что другие веб-сайты могут просматривать имена других баз данных, разработанных на других сайтах, которые могут содержать информацию, относящуюся к вашей личности. FingerprintJS идентифицирует веб-сайты, которые используют вашу учетную запись Google, такие как YouTube, Календарь Google и Google Keep и другие. Поскольку ваш идентификатор пользователя Google позволяет Google получать доступ к вашим общедоступным данным, таким как изображение вашего профиля, уязвимость Safari может открыть его для других веб-сайтов.
Это огромная ошибка. В OS X пользователи Safari могут (временно) переключиться на другой браузер, чтобы избежать утечки данных из разных источников. У пользователей iOS такого выбора нет, потому что Apple накладывает запрет на другие браузерные движки. https://t.co/aXdhDVIjTT
— Джейк Арчибальд (@jaffathecake) 16 января 2022 г.
Правительство Индии предупреждает пользователей Chrome о проблеме безопасности
FingerprintJS создан демонстрация концепции вы можете оценить, есть ли у вас Safari 15 или выше на вашем Mac, iPhone или iPad. В демонстрации используется уязвимость IndexedDB браузера для определения сайтов, которые вы открыли (или недавно открывали), и того, как сайты, использующие уязвимость, могут собирать информацию из вашего идентификатора пользователя Google. В настоящее время он обнаруживает только 30 основных сайтов, на которые влияет ошибка, таких как Instagram, Netflix, Twitter и Xbox, но, вероятно, это затронет гораздо больше.
К сожалению, вы мало что можете с этим поделать, потому что ошибка затрагивает и режим приватного просмотра в Safari. Вы можете использовать другой браузер в macOS, но на все браузеры распространяется запрет Apple на сторонний браузерный движок на iOS. 28 ноября FingerprintJS сообщил об утечке в средство отслеживания ошибок WebKit, но для Safari еще не было обновлений.
