test adv
,

Уязвимость в Safari позволяет узнать историю браузера и данные многих сайтов

Удивительно, но специалисты сообщают, что о данной проблеме они сообщили компании Apple ещё в ноябре 2021 года

Специалисты компании FingerprintJS в своём официальном блоге рассказали о весьма серьёзной софтверной уязвимости, обнаруженной в браузере Safari 15, которая предоставляет возможность сайтам-злоумышленникам со встроенным кодом получать доступ к активности пользователя в интернете, а также к некоторым данным аккаунта в Google. И, что самое неприятное в данной проблеме, пользователю не нужно совершать каких-либо действий для того, чтобы передать свою информацию сайту с соответствующим встроенным кодом — браузер сам это сделает сразу после того, как в нём будет открыт сайт злоумышленников.

Базируется данная уязвимость на особенностях работы фреймворка IndexedDB — это довольно продвинутый метод для постоянного хранения определённых данных внутри самого браузера, некое NoSQL-хранилище, только на стороне клиента, а не сервера. Соответственно, фреймворк хранит в памяти браузера информацию о конкретных вкладках или доменных именах, и благодаря нарушению принципа работы с базой данных, сторонние сайты в определённых сценариях могут взаимодействовать с элементами из этой базы, которые с ними никак не связаны. В результате сайты-мошенники с интегрированным специальным кодом получают доступ к пользовательской информации даже без участия со стороны человека.

Конечно, никакой критически важной информации таким образом получить не выйдет — мошенники могут лишь узнать, какие именно ресурсы в интернете посещал пользователь. С другой стороны, на определённых ресурсах, где используется уникальный идентификатор пользователя, ситуация кажется уже более опасной. Например, во многих сервисах компании Google, будь то YouTube или заметки Keep, такой идентификатор тоже задействован — при помощи соответствующего кода злоумышленники могут получить имя пользователя в системе профилей Google. Впрочем, под угрозой не только сервисы поискового гиганта — специалисты FingerprintJS заявили, что более 30 сайтов из тысяча самых посещаемых ресурсов в топе Alexa тоже подвержены подобному методу взлома.

Чтобы узнать, какие именно данные злоумышленники могут получить при помощи данной уязвимости, энтузиастами был даже создан специальный сайт SafariLeaks — он отображает всю информацию, которая будет доступна после условного взлома фреймворка IndexedDB. И, если верить специалистам, о данной уязвимости Apple узнала ещё в ноябре, но по сей день проблема не исправлена.


Последнее изменение:
 
askazanov
askazanov, 17 января 2022, 13:30   #   (...)
Кто раскрыл наконец секрет?)))))
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием