В Safari обнаружена серьезная уязвимость. Она есть на iPhone, iPad и Mac

Олег


В сети появилась информация об уязвимости в фирменном браузере Safari от Apple. На это обратил внимание зарубежный ресурс 9to5Mac.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Согласно источнику, речь идет о неправильной реализации базы IndexedDB внутри «яблочного» браузера Safari. Из-за ошибки при формировании этой базы любой сайт, на который заходит пользователь, может «видеть» историю посещенных им ранее страниц. Но опасность состоит не просто в «сливе» истории браузера — эта уязвимость может поспособствовать краже ваших личных данных на некоторых сайтах; как минимум, в зоне риска находятся учетные записи Google. Похоже, что этой ошибкой «грешат» как мобильные, так и десктопные версии Safari.

Службы Google, как и многие другие ресурсы, хранят файл IndexedDB для каждого вашего аккаунта локально на вашем же устройстве, в разделе файловой системы, отведенном для Safari. Имя для каждой базы задается автоматически и в случае с Google оно совпадает с персональным идентификатором пользователя аккаунта. Здесь и кроется главная проблема: ошибка в Safari позволяет любому сайту видеть и названия всех баз IndexedDB, находящихся в памяти устройства, и адреса веб-сайтов, которые их создали. 



Злоумышленник может создать вредоносный сайт, который будет использовать обнаруженную уязвимость в Safari. Когда пользователь посетит этот сайт, зловред «заглянет» в архив баз IndexedDB и перепишет себе их названия. Свою добычу хакер использует, чтобы «достать» другую информацию о вас с исходного сайта с использованием украденного идентификатора.

Для демонстрации того, как всё это работает, разработчик, который обнаружил «дыру», написал небольшой эксплойт и разместил его вот здесь. Результатом успешной работы этого скрипта станет изображение профиля, которое будет добыто из вашего аккаунта Google. Этот «безопасный взлом» может наглядно показать работу с ошибкой в IndexedDB. На самом деле «вредонос» способен извлечь гораздо больше данных.

Эксперт отмечает, что потенциально эта уязвимость может быть использована против аккаунта на любом сайте, работающем при помощи JavaScript API IndexedDB. Содержимое баз данных в Safari надежно защищено. Однако ошибка состоит в том, что система присваивает им названия в виде реальных идентификаторов пользователя и не запрещает видеть их любому стороннему сайту.

Ранее мы рассказали об уязвимости, которая присутствует во всех популярных браузерах, кроме Apple Safari. 

-2
iGuides в Дзене —  dzen.ru/iguides
iGuides в Telegram — t.me/iguides
iGuides в VK —  vk.com/iguides
iGuides в Ok.ru — ok.ru/iguides

Рекомендации

Рекомендации

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+1058
Печалька(( надо завязывать с порносайтами))
16 января 2022 в 19:38
#
13den666
+487
Это не повод сдаваться!
16 января 2022 в 19:56
#
+962
Зайди в браузер в режиме инкогнито и возьми себя в руки)
16 января 2022 в 20:07
#
+1058
Вообще я так и делаю, понял, что не важно в каком режиме заходить))
16 января 2022 в 20:23
#
+826
Замена есть. Журнал Плейбой и подобные журналы )))
16 января 2022 в 20:45
#
+1058
Ну ты вспомнил))
16 января 2022 в 20:46
#
Tigrolik
+763
Ничего оно не видит. У меня не сработало. Пожаловалось, что я не залогинен в гугле и оно ничего не может сделать. Никаких баз (хоть гугл, хоть других), сайтов и прочего оно не прочитало. Фейк короче. Может, если залогинится в гугле, то оно и подтянет фото аккаунта и историю посещения сайтов. Но так это во-первых и не сафари виноват, а сам гугл. А во-вторых это и не уязвимость вовсе. Офигеть блин какая дыра, ну.
16 января 2022 в 20:40
#
+153
Пользователь удален
... как минимум, в зоне риска находятся учетные записи Google ... — Ну, кто б сомневался. Где есть Гугл, там сразу есть проблемы для его паствы)))
17 января 2022 в 00:03
#

Читайте также