Всего неделю назад мы сообщали о уязвимости Powerdir (CVE-202-30970) в macOS, которая могла предоставлять доступ к пользовательским данным. Эта проблема безопасности, обнаруженная Microsoft, уже была исправлена Apple, причем патч вышел еще в прошлом году. Однако, сегодня появилась информация о новой уязвимости в браузере Safari, которая может привести к утечке браузерной истории и информации, связанной с аккаунтом Google.
Возможно раскрытие истории просмотров в Safari
Браузер Safari используется по умолчанию в macOS, iOS и iPadOS. В продукте обнаружена проблема безопасности, которая связана с IndexedDB. Этот программный интерфейс используется сайтами для хранения данных на устройстве и использует политику same-origin. Данный API ограничивает доступ других веб-сайтов, документов, скриптов к данным, принадлежащим определенному веб-сайту. Это своего рода песочница для данных, созданных веб-сайтом.
Данные в IndexedDB привязаны к определенному источнику, например. ваша учетная запись Google связана с собственной базой данных. Таким образом, теоретически другие сайты не должны иметь доступа к информации, хранящейся в базе данных, но команда FingerprintJS обнаружила, что в Safari 15 существует эксплойт, который может раскрывать данные другим сайтам.
Как все работает? Когда веб-сайт обращается к базе данных, остальные данные из других вкладок, окон и фреймов в текущем сеансе сохраняются в новой базе данных. Проблема здесь в том, что вновь созданная база данных имеет то же имя, что и исходная, в результате чего имена баз данных просачиваются через разные источники (веб-сайты).
Такая архитектура позволяет веб-сайтам идентифицировать пользователей по их уникальному идентификатору. Хуже всего то, что веб-сайты хранят в этих базах идентификаторы аутентифицированных пользователей Google. В случае, если пользователь вошел в несколько учетных записей, каждая из них имеет свою собственную базу данных. Параметр user ID используется Google для идентификации пользователя через API People, чтобы получить общедоступную личную информацию из учетной записи, например изображение его профиля. Таким образом, вредоносный веб-сайт может получить эту информацию только потому, что активная в фоновом режиме вкладка или окно может получить доступ к API IndexedDB. Когда вы посещаете другие веб-сайты, эти данные также сохраняются в базе данных, а это означает, что ваша история просмотров также доступна третьим лицам.
Доступно отдельное видео с демонстрацией эксплуатации уязвимости. На веб-сайте safarileaks также опубликована страница с подтверждением концепции. Ее можно открыть на устройстве macOS, iOS или iPadOS, чтобы проверить, подвержен ли ваш браузер данной уязвимости. Демо-сайт обнаруживает данные многих сервисов, включая Alibaba, Google, Dropbox, Twitter, VK, WhatsApp, Xbox и др.
Портал 9to5Mac сообщает, что Apple пока еще не исправила данную уязвимость, хотя FingerprintJS сообщила об этом компании из Купертино еще 28 ноября 2021 года.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России