Через новий баг в Safari можна переглядати історію та акаунт Google

Дослідники безпеки з FingerprintJS знайшли вразливість API IndexedDB в Safari 15 для iPhone і Mac. Цей баг дозволяє сайтам відслідковувати нещодавню історію переглядів користувачів і навіть деяку інформацію про облікові записи Google.

Помилка реалізації Safari IndexedDB на macOS і iOS дозволяє сайтам бачити імена баз даних для будь-якого домену, а не тільки для власного. Назви баз даних можна використовувати для отримання ідентифікуючої інформації з таблиці пошуку.

Наприклад, служби Google зберігають екземпляр IndexedDB для кожного з ваших зареєстрованих облікових записів з ім’ям бази даних, який відповідає вашому ідентифікатору користувача Google.

Використовуючи експлойт, описаний у блозі FingerprintJS, сторонній сайт може визначити ваш ідентифікатор користувача Google, а потім використовувати його для отримання іншої особистої інформації про вас.

Фахівці FingerprintJS повідомили про помилку Apple 28 листопада, але компанія досі її не усунула.