Кібербезпека

Вразливість у Safari дозволяє дізнатися історію браузера та дані багатьох сайтів

5

Фахівці компанії FingerprintJS у своєму офіційному блозі розповіли про дуже серйозну софтверну вразливість, виявлену в браузері Safari 15, яка надає можливість сайтам-зловмисникам з вбудованим кодом отримувати доступ до активності користувача в інтернеті, а також до деяких даних акаунту в Google. І, що найнеприємніше в цій проблемі, користувачеві не потрібно робити будь-які дії для того, щоб передати свою інформацію сайту з відповідним вбудованим кодом — браузер сам це зробить відразу після того, як в ньому буде відкритий сайт зловмисників.

Базується дана вразливість на особливостях роботи фреймворку IndexedDB — це досить просунутий метод для постійного зберігання певних даних усередині самого браузера, якесь NoSQL-сховище, тільки на стороні клієнта, а не сервера. Відповідно, фреймворк зберігає в пам’яті браузера інформацію про конкретні вкладки або доменні імена, і завдяки порушенню принципу роботи з базою даних, сторонні сайти в певних сценаріях можуть взаємодіяти з елементами цієї бази, які з ними ніяк не пов’язані. В результаті сайти-шахраї з інтегрованим спеціальним кодом отримують доступ до інформації користувача навіть без участі з боку людини.

Звичайно, ніякої критично важливої ​​інформації таким чином отримати не вийде — шахраї можуть лише дізнатися, які саме ресурси відвідував користувач. З іншого боку, на певних ресурсах, де використовується унікальний ідентифікатор користувача, ситуація здається більш небезпечною. Наприклад, у багатьох сервісах компанії Google, будь то YouTube або нотатки Keep, такий ідентифікатор теж задіяний — за допомогою відповідного коду зловмисники можуть отримати ім’я користувача в системі профілів Google. Втім, під загрозою не тільки сервіси пошукового гіганта — фахівці FingerprintJS заявили, що понад 30 сайтів з тисячі найвідвідуваніших ресурсів у топі Alexa теж схильні до подібного методу злому.

Щоб дізнатися, які саме ці зловмисники можуть отримати за допомогою даної вразливості, ентузіастами був навіть створений спеціальний сайт SafariLeaks — він відображає всю інформацію, яка буде доступна після умовного злому фреймворку IndexedDB. І, якщо вірити фахівцям, про цю вразливість Apple дізналася ще в листопаді, але досі проблема не виправлена.

5 Comments

  1. … [Trackback]

    […] There you can find 60839 more Information on that Topic: portaltele.com.ua/news/cybersecurity/vrazlyvist-u-safari-dozvolyaye-diznatysya-istoriyu-brauzera-ta-dani-bagatoh-sajtiv.html […]

  2. … [Trackback]

    […] Read More on that Topic: portaltele.com.ua/news/cybersecurity/vrazlyvist-u-safari-dozvolyaye-diznatysya-istoriyu-brauzera-ta-dani-bagatoh-sajtiv.html […]

  3. … [Trackback]

    […] Find More here to that Topic: portaltele.com.ua/news/cybersecurity/vrazlyvist-u-safari-dozvolyaye-diznatysya-istoriyu-brauzera-ta-dani-bagatoh-sajtiv.html […]

  4. … [Trackback]

    […] There you will find 56664 additional Information to that Topic: portaltele.com.ua/news/cybersecurity/vrazlyvist-u-safari-dozvolyaye-diznatysya-istoriyu-brauzera-ta-dani-bagatoh-sajtiv.html […]

  5. … [Trackback]

    […] Find More here on that Topic: portaltele.com.ua/news/cybersecurity/vrazlyvist-u-safari-dozvolyaye-diznatysya-istoriyu-brauzera-ta-dani-bagatoh-sajtiv.html […]

Comments are closed.

error: Вміст захищено!!!