Ошибка в Safari позволяет похищать данные и отслеживать трафик
Ошибку, получившую название IndexedDB Leaks, обнаружили эксперты из компании FingerprintJS, специализирующейся на разработке защитного ПО.
В целях предотвращения XSS-атак IndexedDB, распространенный браузерный API, использует решения Same Origin Policy, контролируя ресурсы, получающие доступ к пользовательским данным. ИБ-эксперты зафиксировали, что API не соблюдает Same Origin Policy на Safari 15 на macOS, что может привести к нарушению конфиденциальности личной информации пользователя. Аналогичная уязвимость присутствует и в браузерах, использующих движок на iOS и iPadOS. Проще говоря, опасности подвергаются все устройства, браузеры которых работают с WebKit, в котором и кроется ошибка.
Уязвимость позволяет получить доступ к базе данных последнего сеанса с любого ресурса. Помимо утечки истории браузера, ошибка может привести ещё и к обнаружению ID пользователя.
Чтобы воспользоваться ошибкой, мошенникам достаточно войти в систему и посетить популярные ресурсы. Как только пользователь зайдёт, например, на YouTube или Facebook, создастся новая база в IndexedDB с идентификатором.
Эксперты сообщили об ошибке ещё в ноябре 2021 года, но пока что уязвимость не устранена. В качестве крайней меры предлагается блокировка JavaScript, однако, подобное решение может остановить работу множества ресурсов.