Специалисты по безопасности обнаружили уязвимость в Safari 15 и сторонних браузерах на базе iOS 15 и iPadOS 15. Как оказалось, это связано со стандартом IndexedDB, который позволяет сайтам сохранять базы данных на устройствах пользователя. Проблему нашли специалисты FingerprintJS.
Обычно доступ к свежесозданной базе данных имеет только сам сайт. Но в Safari при доступе сайта к своей базе создаётся ещё одна — с тем же именем. Она доступна для всех сайтов и вкладок. Таким образом, другие сайты могут узнать, куда ещё заходил пользователь.
Аналогичная проблема касается YouTube и календаря Google, которые работают также, а её — добавляют в базу логин пользователя. Отсюда уже можно узнать фамилию, имя и фото аккаунта.
В FingerprintJS создали сайт, который эмулирует такую уязвимость и показывает недавнюю активность пользователя, если зайти на ресурс с Safari 15. Любопытно, что исследователи сообщили Apple об ошибке 28 ноября 2021 года, но её до сих пор не устранили.