18 января 2022
240

Ошибка в Safari позволяет похищать данные и отслеживать трафик

Уязвимость API IndexedDB в движке Safari WebKit может использоваться мошенниками для отслеживания действий пользователей в сети и кражи личных данных.

Ошибку, получившую название IndexedDB Leaks, обнаружили эксперты из компании FingerprintJS, специализирующейся на разработке защитного ПО.

В целях предотвращения XSS-атак IndexedDB, распространенный браузерный API, использует решения Same Origin Policy, контролируя ресурсы, получающие доступ к пользовательским данным. ИБ-эксперты зафиксировали, что API не соблюдает Same Origin Policy на Safari 15 на macOS, что может привести к нарушению конфиденциальности личной информации пользователя. Аналогичная уязвимость присутствует и в браузерах, использующих движок на iOS и iPadOS. Проще говоря, опасности подвергаются все устройства, браузеры которых работают с WebKit, в котором и кроется ошибка.

Уязвимость позволяет получить доступ к базе данных последнего сеанса с любого ресурса. Помимо утечки истории браузера, ошибка может привести ещё и к обнаружению ID пользователя.

Чтобы воспользоваться ошибкой, мошенникам достаточно войти в систему и посетить популярные ресурсы. Как только пользователь зайдёт, например, на YouTube или Facebook, создастся новая база в IndexedDB с идентификатором.

Эксперты сообщили об ошибке ещё в ноябре 2021 года, но пока что уязвимость не устранена. В качестве крайней меры предлагается блокировка JavaScript, однако, подобное решение может остановить работу множества ресурсов.

Читайте также
Хакеры атаковали крупнейшего хостинг-провайдера в РФ
21 марта 2024
Хакеры взломали 100 миллионов аккаунтов Instagram*
20 марта 2024
Хакеры провели более 100 атак на российские компании с помощью инструментов для пентеста
7 марта 2024