През последната една година Apple положиха огромни усилия да комуникират своята политика за поверителност, уверявайки потребителите, че данните им са на възможно най-сигурното място. Оказва се обаче, че грешка е довела до потенциалното изтичане на голямо количество информация в реално време. Според проучване това се е случило точно след пускането на новите версии на iOS и Safari през септември миналата година. Основният проблем произлиза от уязвимост, която позволява доста лесно да бъде събрана информация за домейните на сайтовете във всички отворени раздели или прозорци, както и потребителски идентификатори и др. Мартин Баяник, софтуерен инженер в FingerprintJS, споделя, че детайлният анализ е установил „че в някои случаи уебсайтовете използват уникални специфични за потребителя идентификатори в имената на бази данни. Това означава, че удостоверените потребители могат да бъдат уникално и точно идентифицирани“.
За демонстративна цел е използван специално създаден сайт safarileaks.com, който показва своите възможности да открие присъствието на повече от 20 уебсайта – Google Calendar, YouTube, Twitter и Bloomberg и др. С повече работа един нападател от реалния свят може да намери стотици или хиляди сайтове или уеб страници, които могат да бъдат уязвими. По този начин се получава информация за вътрешния идентификатор. А той от своя страна може да се използва за разпознаване на титуляря на акаунта.
Изтичането е резултат от начина, по който Webkit browser engine внедрява IndexedDB, програмен интерфейс, поддържан от всички основни браузъри. „Всеки път когато уебсайт взаимодейства с база данни, нова (празна) база данни със същото име се създава във всички други активни рамки, раздели и прозорци в рамките на една и съща сесия на браузъра“, пише Баяник. „Прозорците и разделите обикновено споделят една и съща сесия, освен ако не преминете към друг профил, например в Chrome, или не отворите частен прозорец.“
Баяник каза, че е уведомил Apple за уязвимостта в края на ноември и според него тя все още не е била коригирана нито в Safari, нито в мобилните операционни системи на компанията. Apple все още не са дали пълно становище по проблема, но в началото на седмицата той беше отметнат като разрешен. Крайните потребители обаче няма да бъдат защитени, докато корекцията на Webkit не бъде включена в Safari 15 и iOS и iPadOS 15.
Снимки: Apple
Виж още: Кои са MagSafe аксесоарите, които наистина привличат внимание