Safari haavatavus paljastab brauseri ajaloo ja Google'i kasutajanimed

Sõrmejälgede JS-i eksperdid asutatudet probleem on kõigis seadmetes Safari 15-s. See haavatavus võimaldab juurdepääsu ka iOS 15 ja iPadOS 15 muude brauserite andmetele.

Tänu IndexedDB standardi kasutamisele salvestab tarkvara andmeid kasutajate seadmetesse. Tavaliselt pääseb andmebaasile juurde ainult sait, mille jaoks see loodi.

Kuid Safaris luuakse iga sellise juurdepääsukatsega kõikidele akendele ja vahekaartidele uued tühjad alused – samade nimedega kui algsel. Selle tulemusena näevad kolmanda osapoole ressursid, milliseid teisi lehti külastatakse.

Lisaks salvestavad YouTube, kalender ja muud Google'i teenused kasutajate sisselogimisi oma kohalike andmebaaside nimedesse. Neid kasutades saavad küberkurjategijad hankida ka muid andmeid, nagu perekonnanimi, eesnimi ja kontofoto.

Saate vaadata, kuidas see töötab spetsiaalne saitloodud FingerprintJS-i poolt – see näitab hiljutist tegevust Safaris. Eksperdid teatasid probleemist Apple'ile 21. novembril 2021, kuid haavatavust pole veel suletud.