2

В Safari обнаружена серьезная уязвимость. Она есть на iPhone, iPad и Mac

Олег

Safari


В сети появилась информация об уязвимости в фирменном браузере Safari от Apple. На это обратил внимание зарубежный ресурс 9to5Mac.

Согласно источнику, речь идет о неправильной реализации базы IndexedDB внутри «яблочного» браузера Safari. Из-за ошибки при формировании этой базы любой сайт, на который заходит пользователь, может «видеть» историю посещенных им ранее страниц. Но опасность состоит не просто в «сливе» истории браузера — эта уязвимость может поспособствовать краже ваших личных данных на некоторых сайтах; как минимум, в зоне риска находятся учетные записи Google. Похоже, что этой ошибкой «грешат» как мобильные, так и десктопные версии Safari.

Службы Google, как и многие другие ресурсы, хранят файл IndexedDB для каждого вашего аккаунта локально на вашем же устройстве, в разделе файловой системы, отведенном для Safari. Имя для каждой базы задается автоматически и в случае с Google оно совпадает с персональным идентификатором пользователя аккаунта. Здесь и кроется главная проблема: ошибка в Safari позволяет любому сайту видеть и названия всех баз IndexedDB, находящихся в памяти устройства, и адреса веб-сайтов, которые их создали. 

Safari

Злоумышленник может создать вредоносный сайт, который будет использовать обнаруженную уязвимость в Safari. Когда пользователь посетит этот сайт, зловред «заглянет» в архив баз IndexedDB и перепишет себе их названия. Свою добычу хакер использует, чтобы «достать» другую информацию о вас с исходного сайта с использованием украденного идентификатора.

Для демонстрации того, как всё это работает, разработчик, который обнаружил «дыру», написал небольшой эксплойт и разместил его вот здесь. Результатом успешной работы этого скрипта станет изображение профиля, которое будет добыто из вашего аккаунта Google. Этот «безопасный взлом» может наглядно показать работу с ошибкой в IndexedDB. На самом деле «вредонос» способен извлечь гораздо больше данных.

Эксперт отмечает, что потенциально эта уязвимость может быть использована против аккаунта на любом сайте, работающем при помощи JavaScript API IndexedDB. Содержимое баз данных в Safari надежно защищено. Однако ошибка состоит в том, что система присваивает им названия в виде реальных идентификаторов пользователя и не запрещает видеть их любому стороннему сайту.

Ранее мы рассказали об уязвимости, которая присутствует во всех популярных браузерах, кроме Apple Safari. 

-2
iGuides в Яндекс.Дзен —  zen.yandex.ru/iguides
iGuides в Telegram — t.me/iguides
iGuides в VK —  vk.com/iguides
iGuides в Ok.ru — ok.ru/iguides

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+1070
Печалька(( надо завязывать с порносайтами))
16 января 2022 в 19:38
#
13den666
+486
Это не повод сдаваться!
16 января 2022 в 19:56
#
+908
Зайди в браузер в режиме инкогнито и возьми себя в руки)
16 января 2022 в 20:07
#
+1070
Вообще я так и делаю, понял, что не важно в каком режиме заходить))
16 января 2022 в 20:23
#
+806
Замена есть. Журнал Плейбой и подобные журналы )))
16 января 2022 в 20:45
#
+1070
Ну ты вспомнил))
16 января 2022 в 20:46
#
Tigrolik
+661
Ничего оно не видит. У меня не сработало. Пожаловалось, что я не залогинен в гугле и оно ничего не может сделать. Никаких баз (хоть гугл, хоть других), сайтов и прочего оно не прочитало. Фейк короче. Может, если залогинится в гугле, то оно и подтянет фото аккаунта и историю посещения сайтов. Но так это во-первых и не сафари виноват, а сам гугл. А во-вторых это и не уязвимость вовсе. Офигеть блин какая дыра, ну.
16 января 2022 в 20:40
#
+153
Пользователь удален
... как минимум, в зоне риска находятся учетные записи Google ... — Ну, кто б сомневался. Где есть Гугл, там сразу есть проблемы для его паствы)))
17 января 2022 в 00:03
#