В браузерах Айфонов и Айпадов обнаружена уязвимость, позволяющая получать персональные данные пользователей

Стало известно об опасной уязвимости Айфонов и Айпадов, причиной стала ошибка в работе двигателя, из-за чего хакеры могут отслеживать историю интернет-серфинга.

Во всех браузерах на айфонах и айпадах (а также в Safari на macOS) нашли серьезную уязвимость

На всех устройствах Apple в браузере Safari для macOS, а также во браузерах сторонних разработчиков, используемых на ОС iPadOS 15 и iOS 15 была обнаружена опасная уязвимость. С ее помощью сторонние сайты и хакеры могут отслеживать историю интернет – серфинга, а также получать доступ к персональной информации о пользователях. К таким результатам пришли эксперты FingerprintJS, которые приняли участие в независимом исследовании сервиса.

Причиной появления уязвимости стала ошибка в работе движка WebKit, функционирующего по стандарту IndexedDB. С его помощью сайты получают возможность сохранять свои базы данных на гаджетах пользователей, для их быстрой загрузки в дальнейшем. При нормальном функционировании интерфейса доступ к этим БД получает лишь сам сайт. Однако, в Safari происходит одновременное создание нескольких БД в разных окнах и вкладках, что позволяет хакерам и ресурсам отслеживать активность владельцев смартфонов и планшетов в сети.

Как выясняли эксперты, уязвимость затронула все браузеры, используемые на устройствах с iOS и iPadOS. Это связано с тем, что Эппл требует от разработчиков ПО использовать единый движок WebKit. Избежать уязвимости невозможно даже при использовании приватного режима в Safari.

В отдельных случаях сайты используют специальные идентификаторы для обозначения имен баз данных, что позволяет отождествлять каждого пользователя. В частности, такими идентификаторами пользуются все сервисы Google, в т.ч. YouTube и онлайн – календарь. Зная этот идентификатор, злоумышленники получают безграничный доступ к полной информации о владельце Гугл-аккаунта, начиная от его имени и заканчивая фотографиями, устанавливаемые на профиль.

В ходе исследования было обнаружено, как минимум 30 популярных сайтов, взаимодействующих на своих домашних страницах с проиндексированными базами данных. В их число вошли социальные сети «Вконтакте», Instagram, Twitter, браузерная версия мессенджера WhatsApp, видеохостинг YouTube, стриминговый сервис Netflix и др.

Чтобы показать на практике, как работает уязвимость, специалисты FingerprintJS разработали отдельный демонстрационный портал, на котором можно своими глазами увидеть, каким образом сайты получают доступ к истории активности пользователей в браузере.

Примечательно, что руководство FingerprintJS официально сообщила об обнаруженной ошибке Apple в конце осени 2021 года. Однако, разработчик никак не прокомментировал эту информацию. Более того, с тех пор не было выпущено ни одного обновления для Safari и уязвимость по-прежнему остается актуальной.

Неготовность Apple исправлять допущенные ошибки, как минимум вызывает у мирового сообщества недоумение, тем более на фоне развернувшейся борьбы корпорации с Конгрессом США по поводу установки приложений на смартфоны в обход App Store. Компания считает, что такое решение может привести к серьезным угрозам конфиденциальности пользователей. Более того, в ноябре 2021 года глава корпорации, Тим Кук заявил, что если пользователи так сильно хотят загружать ПО из сторонних источников им стоит задуматься о покупке Андроид-устройств.

Источник: fingerprintjs.com

Будь в курсе последних новостей мира
Оставайтесь в тренде - подпишитесь на наш канал в Telegram

ПОДПИСЫВАЙТЕСЬ ПРИСОЕДИНЯЙТЕСЬ

Ждем Вас!

Похожие статьи и новости