17 января, 17:00
2 мин.

В браузере Apple нашли серьёзную уязвимость. Хакеры могут зайти на посещённые страницы

Пользователи браузера Safari 15-й и более поздних версий на iPhone, iPad и Mac могут стать жертвами хакеров, которые получат доступ к их личной информации. Исследователи компании FingerprintJS обнаружили серьёзную уязвимость, из-за которой злоумышленники могут просмотреть историю посещённых сайтов, а также получить информацию о владельце аккаунта Google на сторонних сайтах.

В браузере Apple нашли серьёзную уязвимость. Хакеры могут зайти на посещённые страницы

Уязвимость нашли в механизме IndexedDB, который используется для хранения данных внутри браузера и ограничивает взаимодействие одного источника с ресурсами из других источников. Иными словами, если пользователь открывает в одной вкладке электронную почту, а в другой — сайт, который хочет извлечь личные данные, механизм IndexedDB помешает последнему их извлечь

Однако эксперты обнаружили, что в Safari 15-й и более поздних версий это правило не работает. Из-за уязвимости одни сайты могут получить доступ к базам данных, созданных другими сайтами. Аналитики обращают внимание, что у пользователей не спрашивают разрешения на отправку информации, это происходит в фоновом режиме.

Согласно исследованию, даже приватный режим Safari и других браузеров не даёт абсолютной гарантии защиты от утечек. В приватном режиме сеансы просмотра ограничены одной вкладкой, это уменьшает объём доступной информации, но утечка всё равно может произойти.

Как защитить себя?

В компании рекомендуют заблокировать JavaScript по умолчанию и разрешить его только на проверенных сайтах. Однако такое решение делает просмотр веб-страниц неудобным.

Пользователи Mac также могут временно переключиться с Safari на другой браузер. Этой рекомендацией не могут воспользоваться владельцы устройств на iOS и iPadOS, так как на них эта уязвимость затрагивает все браузеры.

Единственная реальная защита — обновление браузера или ОС после того, как проблема будет решена в Apple, заключили в FingerprintJS.

Представители FingerprintJS сообщили Apple об обнаруженной ошибке в конце ноября 2021 года, но с тех пор обновления для Safari так и не вышло. В Apple эту проблему не комментировали.

Ранее специалисты компании Positive Technologies нашли в сервисе для видеоконференций Zoom ошибку, которая даёт возможность хакерам прослушивать чужие видеозвонки в режиме реального времени. Киберэксперты также выявили в приложении уязвимости, позволяющие атаковать инфраструктуру компаний-пользователей.

Фото: depositphotos.com/ymgerman

Новости партнеров