Ошибка Safari позволяет веб-сайтам отслеживать вашу недавнюю активность в Интернете в режиме реального времени
С тех пор, как ошибки стали о себе знать, Apple подготовила исправление. для ошибки, согласно фиксации WebKit на GitHub, но исправление не будет доступно пользователям, пока Apple не выпустит обновления macOS Monterey, iOS 15 и iPadOS 15 с обновленной версией Safari. Apple отказалась от комментариев, когда ее попросили указать сроки публикации исправления. Более подробно об этом далее.
Итак, по последним сообщениям в блоге, которые были опубликованы в пятницу FingerprintJS , ошибка в реализации JavaScript API в WebKit под названием IndexedDB может раскрыть недавнюю историю просмотров и даже личность пользователя.
Если вкратце, ошибка позволяет любому веб-сайту, использующему IndexedDB, получать доступ к именам баз данных IndexedDB, сгенерированных другими веб-сайтами во время сеанса просмотра пользователем. Ошибка может позволить одному веб-сайту отслеживать другие веб-сайты, которые пользователь посещает в разных вкладках или окнах, поскольку имена баз данных часто уникальны и специфичны для каждого веб-сайта. Правильным и нормальным поведением должно быть то, что веб-сайты могут получить доступ только к своим собственным базам данных IndexedDB.
В некоторых случаях веб-сайты используют уникальные пользовательские идентификаторы в именах баз данных IndexedDB. Например, YouTube создает базы данных, которые включают в себя идентификатор пользователя Google, прошедший проверку подлинности, в имени, и этот идентификатор может использоваться с API Google для получения личной информации о пользователе, такой как изображение профиля, согласно FingerprintJS. Эта личная информация может помочь злоумышленнику определить личность пользователя.
Ошибка затрагивает более новые версии браузеров, использующих движок браузера Apple с открытым исходным кодом WebKit, включая Safari 15 для Mac и Safari для всех версий iOS 15 и iPadOS 15. Ошибка также затрагивает сторонние браузеры, такие как Chrome для iOS 15 и iPadOS 15, как Apple требует, чтобы все браузеры использовали WebKit на iPhone и iPad. В FingerprintJS есть живая демонстрация ошибки, которая указывает на то, что старые браузеры, такие как Safari 14 для Mac, не затронуты.
отметил, что веб-сайту не требуется никаких действий пользователя для доступа к именам баз данных IndexedDB, созданным другими веб-сайтами.
«Вкладка или окно, которое работает в фоновом режиме и постоянно запрашивает API IndexedDB для доступных баз данных, может узнать, какие другие веб-сайты посещает пользователь в режиме реального времени», — говорится в сообщении в блоге. «В качестве альтернативы веб-сайты могут открывать любой веб-сайт в iframe или всплывающем окне, чтобы вызвать утечку на основе IndexedDB для этого конкретного сайта».
Режим приватного просмотра не защищает от ошибки в уязвимых версиях Safari.
Пользователям нужно будет подождать, пока Apple исправит ошибку с помощью обновлений программного обеспечения — мы связались с Apple, чтобы узнать, планируется ли исправление. В то же время пользователи Safari 15 могут временно переключиться на другой браузер на Mac, но это невозможно на iPhone или iPad, так как все браузеры подвержены ошибке WebKit на этих устройствах.
Об ошибке сообщили в WebKit Bug Tracker 28 ноября. Более подробную информацию можно найти в сообщении в блоге FingerprintJS , о котором ранее сообщал 9to5Mac .
Но как только проявились баги, Apple решила не стоять в стороне и оперативно взялась за исправления ошибок. За выходные компания подготовила исправление для ошибки, согласно фиксации WebKit на GitHub , но Apple все еще необходимо выпустить обновления macOS и iOS с обновленной версией Safari, прежде чем исправление станет доступным для пользователей. Apple отказалась назвать сроки.
