В айфонах и айпадах нашли серьезную уязвимость, которая позволяет узнать историю браузера и данные пользователей

Эта неприятность возникла из-за ошибки движка WebKit в реализации стандарта IndexedDB, интерфейса прикладного программирования (API), который хранит данные в браузере. Этот интерфейс позволяет сайтам сохранять базы данных на устройстве пользователя. Уязвимость затронула все браузеры на iOS и iPadOS, в соответствии с требованиями Apple

Из-за уязвимости сайты могут получить доступ к базам данных, созданных другими сайтами. Каждый раз, когда сайт взаимодействует с базой данных, новая пустая база данных с тем же именем создается во всех других активных фреймах, вкладках и окнах в рамках одной сессии браузера. Раскрытие имени базы данных позволяет произвольным сайтам узнать, какие интернет-страницы посещал пользователь.

В некоторых случаях сайты используют в именах баз данных уникальные идентификаторы, которые позволяют отождествить пользователя. Например, это касается сервисов Google, в том числе YouTube и календаря. Используя идентификатор пользователя Google (Google User ID), можно получить публичную личную информацию о владельце аккаунта, как минимум, фотографию профиля.

Исследователи обнаружили более 30 популярных сайтов, которые взаимодействуют с проиндексированными базами данных на своей домашней странице. Среди них — Instagram****, YouTube, Netflix, Twitter, WhatsApp, «ВКонтакте». Компания FingerprintJS создала демонстрационный сайт, где можно увидеть, как можно получить доступ к истории в браузере.

Представители FingerprintJS сообщили Apple об обнаруженной ошибке в конце ноября 2021 года, но с тех пор для Safari не выпускали обновлений. В Apple это не комментировали.