у браузерах айфонів і Айпадов виявлена уразливість, що дозволяє отримувати персональні дані користувачів
Стало відомо про небезпечну уразливість айфонів і Айпадів, причиною стала помилка в роботі двигуна, через що хакери можуть відстежувати історію інтернет-серфінгу
На всіх пристроях Apple у браузері Safari для macOS, а також у браузерах сторонніх розробників, що використовуються на ОС iPadOS 15 і iOS 15 була виявлена небезпечна вразливість. З її допомогою сторонні сайти і хакери можуть відстежувати історію Інтернет - серфінгу, а також отримувати доступ до персональної інформації про користувачів. До таких результатів прийшли експерти FingerprintJS, які взяли участь у незалежному дослідженні сервісу.
Причиною появи уразливості стала помилка в роботі движка WebKit, що функціонує за стандартом IndexedDB. З його допомогою сайти отримують можливість зберігати свої бази даних на гаджетах користувачів, для їх швидкого завантаження в подальшому. При нормальному функціонуванні інтерфейсу доступ до цих БД отримує лише сам сайт. Однак, в Safari відбувається одночасне створення декількох БД в різних вікнах і вкладках, що дозволяє хакерам і ресурсів відстежувати активність власників смартфонів і планшетів в мережі.
Як з'ясували експерти, вразливість вплинула на всі браузери, що використовуються на пристроях iOS та iPadOS. Це пов'язано з тим, що Еппл вимагає від розробників по використовувати єдиний движок WebKit. Уникнути вразливості неможливо навіть при використанні приватного режиму в Safari.
В окремих випадках сайти використовують спеціальні ідентифікатори для позначення імен баз даних, що дозволяє ототожнювати кожного користувача. Зокрема, такими ідентифікаторами користуються всі сервіси Google , в т. ч. YouTube та онлайн-календар. Знаючи цей ідентифікатор, зловмисники отримують безмежний доступ до повної інформації про власника Гугл-аккаунта, починаючи від його імені і закінчуючи фотографіями, що встановлюються на профіль.
В ході дослідження було виявлено, як мінімум 30 популярних сайтів, що взаємодіють на своїх домашніх сторінках з проіндексованими базами даних. До їх числа увійшли соціальні мережі "Вконтакте", Instagram, Twitter, браузерна версія месенджера WhatsApp , відеохостинг YouTube, стрімінговий сервіс Netflix та ін.
Щоб показати на практиці, як працює вразливість, фахівці FingerprintJS розробили окремий демонстраційний портал, на якому можна своїми очима побачити, яким чином сайти отримують доступ до історії активності користувачів в браузері.
Примітно, що керівництво FingerprintJS офіційно повідомила про виявлену помилку Apple наприкінці осені 2021 року. Однак, Розробник ніяк не прокоментував цю інформацію. Більш того, з тих пір не було випущено жодного оновлення для Safari і вразливість як і раніше залишається актуальною.
Неготовність Apple виправляти допущені помилки, як мінімум викликає у світової спільноти подив, тим більше на тлі розгорнулася боротьби корпорації з Конгресом США з приводу установки додатків на смартфони в обхід App Store . Компанія вважає, що таке рішення може призвести до серйозних загроз конфіденційності користувачів. Більш того, в листопаді 2021 року глава корпорації, Тім Кук заявив, що якщо користувачі так сильно хочуть завантажувати ПО зі сторонніх джерел їм варто задуматися про покупку андроїд-пристроїв.
