Ошибка Safari раскрывает историю браузера пользователей и информацию о аккаунте Google

Ошибка программного обеспечения в Safari 15 от Apple может позволить любому веб-сайту получить вашу недавнюю интернет-историю и даже некоторую информацию о вашем аккаунте Google, а также раскрыть вашу личность.

Согласно блогу FingerprintJS, службы отпечатков браузера и обнаружения мошенничества, ошибка была введена в реализацию API IndexedDB в Safari 15, который является частью движка разработки веб-браузера WebKit от Apple.

Для тех, кто не в курсе, IndexedDB — это API браузера для клиентского хранения, предназначенный для хранения значительных объемов данных, который поддерживается во всех основных браузерах и очень часто используется.

Как и большинство современных технологий веб-браузеров, IndexedDB следует политике одного источника, которая является основным механизмом безопасности, ограничивающим то, как документы или скрипты, загруженные из одного источника, могут взаимодействовать с ресурсами из других источников. Индексированные базы данных ассоциируются с конкретным источником.

«Документы или скрипты, связанные с разными источниками, никогда не должны иметь возможности взаимодействовать с базами данных, связанными с другими источниками», — говорится в блоге.

В Safari 15 на macOS и во всех браузерах на iOS и iPadOS 15 API IndexedDB нарушает политику одного источника. Когда веб-сайт взаимодействует с базой данных в Safari, FingerprintJS сообщает, что новая (пустая) база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одной сессии браузера.

Тот факт, что имена баз данных утечка через разные источники, является очевидным нарушением конфиденциальности. Это позволяет произвольным веб-сайтам узнать, какие веб-сайты пользователь посещает в разных вкладках или окнах. Это возможно, потому что имена баз данных обычно уникальны и специфичны для веб-сайта.

Более того, FingerprintJS наблюдал, что в некоторых случаях веб-сайты используют уникальные идентификаторы, специфичные для пользователя, в именах баз данных. Это означает, что аутентифицированные пользователи могут быть уникально и точно идентифицированы.

Некоторые популярные примеры включают YouTube, Google Календарь или Google Keep. Все эти веб-сайты создают базы данных, которые включают аутентифицированный идентификатор пользователя Google, и в случае, если пользователь вошел в несколько аккаунтов, базы данных создаются для всех этих аккаунтов.

Идентификатор пользователя Google — это внутренний идентификатор, генерируемый Google. Он уникально идентифицирует одну учетную запись Google, которая может использоваться с API Google для получения публичной личной информации владельца аккаунта.

«Это не только подразумевает, что ненадежные или злонамеренные веб-сайты могут узнать личность пользователя, но также позволяет связывать несколько отдельных аккаунтов, используемых одним и тем же пользователем», — написал FingerprintJS.

Обратите внимание, что эти утечки не требуют никаких конкретных действий пользователя. Вкладка или окно, которое работает в фоновом режиме и постоянно запрашивает API IndexedDB для доступных баз данных, может узнать, какие другие веб-сайты пользователь посещает в реальном времени. В качестве альтернативы веб-сайты могут открыть любой веб-сайт в iframe или всплывающем окне, чтобы инициировать утечку на основе IndexedDB для этого конкретного сайта.

FingerprintJS создал демонстрационную страницу, которая показывает, как веб-сайт может узнать идентичность аккаунта Google любого посетителя. Демонстрация доступна на safarileaks.com. Вы можете попробовать это, если у вас есть Safari 15 и выше на вашем Mac, iPhone или iPad. В настоящее время демонстрация только обнаруживает наличие 20+ веб-сайтов в других вкладках или окнах браузера, включая Google Календарь, Youtube, Twitter и Bloomberg.

FingerprintJS сообщил о ошибке Safari в WebKit Bug Tracker 28 ноября 2021 года как об ошибке 233548; однако Apple еще не исправила эту проблему.

До тех пор единственным решением может быть блокировка всего JavaScript по умолчанию и разрешение его только на доверенных сайтах. Другой альтернативой для пользователей Safari на Mac является временный переход на другой браузер. К сожалению, на iOS и iPadOS это не вариант, так как все браузеры подвержены этому.