В браузерах Айфонов и Айпадов обнаружена уязвимость, позволяющая получать персональные данные пользователей

Во всех браузерах на айфонах и айпадах (а также в Safari на macOS) нашли серьезную уязвимость

На всех устройствах Apple в браузере Safari для macOS, а также во браузерах сторонних разработчиков, используемых на ОС iPadOS 15 и iOS 15 была обнаружена опасная уязвимость. С ее помощью сторонние сайты и хакеры могут отслеживать историю интернет – серфинга, а также получать доступ к персональной информации о пользователях. К таким результатам пришли эксперты FingerprintJS, которые приняли участие в независимом исследовании сервиса.

Причиной появления уязвимости стала ошибка в работе движка WebKit, функционирующего по стандарту IndexedDB. С его помощью сайты получают возможность сохранять свои базы данных на гаджетах пользователей, для их быстрой загрузки в дальнейшем. При нормальном функционировании интерфейса доступ к этим БД получает лишь сам сайт. Однако, в Safari происходит одновременное создание нескольких БД в разных окнах и вкладках, что позволяет хакерам и ресурсам отслеживать активность владельцев смартфонов и планшетов в сети.

Как выясняли эксперты, уязвимость затронула все браузеры, используемые на устройствах с iOS и iPadOS. Это связано с тем, что Эппл требует от разработчиков ПО использовать единый движок WebKit. Избежать уязвимости невозможно даже при использовании приватного режима в Safari.

В отдельных случаях сайты используют специальные идентификаторы для обозначения имен баз данных, что позволяет отождествлять каждого пользователя. В частности, такими идентификаторами пользуются все сервисы Google, в т.ч. YouTube и онлайн – календарь. Зная этот идентификатор, злоумышленники получают безграничный доступ к полной информации о владельце Гугл-аккаунта, начиная от его имени и заканчивая фотографиями, устанавливаемые на профиль.

В ходе исследования было обнаружено, как минимум 30 популярных сайтов, взаимодействующих на своих домашних страницах с проиндексированными базами данных. В их число вошли социальные сети «Вконтакте», Instagram, Twitter, браузерная версия мессенджера WhatsApp, видеохостинг YouTube, стриминговый сервис Netflix и др.

Чтобы показать на практике, как работает уязвимость, специалисты FingerprintJS разработали отдельный демонстрационный портал, на котором можно своими глазами увидеть, каким образом сайты получают доступ к истории активности пользователей в браузере.

Примечательно, что руководство FingerprintJS официально сообщила об обнаруженной ошибке Apple в конце осени 2021 года. Однако, разработчик никак не прокомментировал эту информацию. Более того, с тех пор не было выпущено ни одного обновления для Safari и уязвимость по-прежнему остается актуальной.

Неготовность Apple исправлять допущенные ошибки, как минимум вызывает у мирового сообщества недоумение, тем более на фоне развернувшейся борьбы корпорации с Конгрессом США по поводу установки приложений на смартфоны в обход App Store. Компания считает, что такое решение может привести к серьезным угрозам конфиденциальности пользователей. Более того, в ноябре 2021 года глава корпорации, Тим Кук заявил, что если пользователи так сильно хотят загружать ПО из сторонних источников им стоит задуматься о покупке Андроид-устройств.

Источник: fingerprintjs.com

Читайте похожие статьи, которые могут вас заинтересовать:

Подписывайтесь на наши каналы и оставайтесь в тренде!

Дорогие читатели, приглашаем вас подписаться на наши каналы, где мы публикуем только самое интересное и полезное из мира бизнеса и не только! Будьте в курсе свежих новостей от lindeal.com

Facebook Telegram Twitter Vkontakte

*Нашли ошибку на сайте или считаете информацию неполной? Напишите нам, мы все сделаем!
Хотите, чтобы мы написали про конкретную компанию, человека или сделали обзор на книгу, которая вас интересует? Свяжитесь с нашей редакцией!