В браузере Apple нашли серьёзную уязвимость. Хакеры могут зайти на посещённые страницы
Пользователи браузера Safari 15-й и более поздних версий на iPhone, iPad и Mac могут стать жертвами хакеров, которые получат доступ к их личной информации. Исследователи компании FingerprintJS обнаружили серьёзную уязвимость, из-за которой злоумышленники могут просмотреть историю посещённых сайтов, а также получить информацию о владельце аккаунта Google на сторонних сайтах.
Уязвимость нашли в механизме IndexedDB, который используется для хранения данных внутри браузера и ограничивает взаимодействие одного источника с ресурсами из других источников. Иными словами, если пользователь открывает в одной вкладке электронную почту, а в другой — сайт, который хочет извлечь личные данные, механизм IndexedDB помешает последнему их извлечь
Однако эксперты обнаружили, что в Safari 15-й и более поздних версий это правило не работает. Из-за уязвимости одни сайты могут получить доступ к базам данных, созданных другими сайтами. Аналитики обращают внимание, что у пользователей не спрашивают разрешения на отправку информации, это происходит в фоновом режиме.
Согласно исследованию, даже приватный режим Safari и других браузеров не даёт абсолютной гарантии защиты от утечек. В приватном режиме сеансы просмотра ограничены одной вкладкой, это уменьшает объём доступной информации, но утечка всё равно может произойти.
Как защитить себя?
В компании рекомендуют заблокировать JavaScript по умолчанию и разрешить его только на проверенных сайтах. Однако такое решение делает просмотр веб-страниц неудобным.
Пользователи Mac также могут временно переключиться с Safari на другой браузер. Этой рекомендацией не могут воспользоваться владельцы устройств на iOS и iPadOS, так как на них эта уязвимость затрагивает все браузеры.
Единственная реальная защита — обновление браузера или ОС после того, как проблема будет решена в Apple, заключили в FingerprintJS.
Представители FingerprintJS сообщили Apple об обнаруженной ошибке в конце ноября 2021 года, но с тех пор обновления для Safari так и не вышло. В Apple эту проблему не комментировали.
Ранее специалисты компании Positive Technologies нашли в сервисе для видеоконференций Zoom ошибку, которая даёт возможность хакерам прослушивать чужие видеозвонки в режиме реального времени. Киберэксперты также выявили в приложении уязвимости, позволяющие атаковать инфраструктуру компаний-пользователей.
Фото: depositphotos.com/ymgerman